Foi há cerca de 1 ano que a Google e Apple desenvolveram e apresentaram um sistema de notificações de exposição à COVID-19. Presente nos sistemas operativos móveis tem vindo a ajudar os programadores a criar as suas apps dedicadas a detetar contágios.
Este sistema tem evoluído ao longo dos meses, com melhorias vindas destas duas gigantes. No entanto, foi revelado que existe uma falha grave na versão que está no Android e que pode permitir o acesso a dados dos utilizadores.
O sucesso das apps de rastreio da COVID-19 tem sido muito reduzido. O que tem vindo a acontecer é que os utilizadores acabam por não instalar tais propostas ou não simplesmente não alimentam os sistemas com as suas informações. Há ainda problemas na emissão dos códigos a colocar nas apps.
A piorar este cenário surgiu agora a informação de que existe uma falha grave na versão Android da API desenvolvida. Esta permite que algumas apps, não autorizadas, tenham acesso à informação gerada ou recebida, através dos logs. É possível, em alguns casos saber se o utilizador esteve próximo de alguém infetado.
Ao tornar os identificadores Bluetooth acessíveis temporariamente, os dados da COVID-19 ficam assim acessíveis e visíveis. Desta forma, qualquer app com as permissões mais elevadas consegue aceder aos dados e deixar os utilizadores vulneráveis e expostos.
Esta falha foi descoberta pela empresa de análise de segurança AppCensus e prontamente reportada à Google, em fevereiro. A criadora do Android não conseguiu até agora resolver este problema, estando a trabalhar na sua solução com urgência.
Há dois fatores positivos neste problema que o torna menos grave. Apenas as apps pré-instaladas nos Android pelos fabricantes, consideradas seguras, podem ter acesso aos dados, devido às suas permissões. Ao mesmo tempo, não há indícios de que esta falha tenha sido explorada ativamente.
Não existe ainda uma data para a chegada da solução a este problema, mas a Google tenta ativamente resolvê-lo. Espera-se que propague rapidamente a solução pelos smartphones, impedindo que esta falha seja explorada e os dados da COVID-19 sejam recolhidos.