Muito se tem falado das apps de rastreio de contágios da COVID-19. Portugal ainda não revelou qual irá optar, mas todos sabemos que este tipo de apps têm de garantir a máxima segurança, mais concretamente, privacidade.
Como as apps ainda não estão em uso, é normal que se possam avaliar, teoricamente, possíveis cenários. Será que as apps de rastreio de contágios da COVID-19 representam problemas?
Afinal que problemas podem ter as apps para tracing à COVID-19?
A Check Point adverte para os perigos da adoção de aplicações móveis de rastreio de contágios de COVID-19, caso estas não sejam desenvolvidas segundo políticas de segurança restritivas e focadas na gestão e anonimato dos utilizadores. De acordo com um comunicado enviado ao Pplware, a empresa de segurança refere que este tipo de apps:
- Pode-se rastrear os dispositivos: algumas destas aplicações de rastreio requerem o uso de Bluetooth de baixa energia (BLE) para que funcionem, permitindo aos dispositivos emitir sinais que facilitam a identificação do contacto com outros dispositivos. Se não se implementarem corretamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa correlacionando o dispositivo e os seus respetivos pacotes de sinais de identificação.
- A segurança dos dados pessoais pode ficar comprometida: obviamente, as aplicações armazenam registos de contato, chaves cifradas e outros dados sensíveis nos dispositivos. Esta informação deve ser cifrada e armazenada na sandbox de segurança da aplicação e não em áreas partilhadas. No entanto, mesmo dentro de uma área segura como a sandbox, se um cibercriminoso obtiver permissão de acesso físico ao dispositivo pode pôr em risco a privacidade dos dados, sobretudo se armazenar informação tão sensível como a localização GPS, que pode disponibilizar dados como viagens efetuadas pelo utilizador ou locais em que tenha estado nos dias ou semanas anteriores.
- Intercetar o tráfego de uma aplicação: os utilizadores podem ser suscetíveis a sofrer ataques “man-in-the-middle”, que permite a um cibercriminoso intercetar todo o tráfego de dados entre o dispositivo e o servidor da aplicação se estas comunicações não estiverem corretamente cifradas.
- Receber grandes quantidades de informação falsa através de relatórios de saúde: os investigadores da Check Point advertem que é importante que as aplicações de contacto realizem uma autenticação quando a informação seja enviada para os seus servidores, como, por exemplo, quando um utilizador envia o seu diagnóstico e registo de contatos. Sema devida autorização, poderá ser possível inundar os servidores com relatórios de saúde falsos, o que colocaria em causa a fiabilidade de todo o sistema.
Obviamente que, tal como referido, tais situações podem acontecer caso não sejam consideradas políticas de segurança aos mais diferentes níveis. Segundo Rui Duro, Country Manager da Check Point Software Portugal…
A sociedade ainda não sabe o quão fiáveis e seguras são as aplicações de rastreio de contactos. No entanto, após uma revisão inicial, este tipo de serviços deixou-nos algumas sérias preocupações. As aplicações de rastreio de contactos devem manter um delicado equilíbrio entre a privacidade e a segurança, já que uma deficiente aplicação das normas de segurança pode pôr em perigo os dados dos utilizadores. Portanto, ao instalar ou utilizar este tipo de serviços, é fundamental que dados recolhem, como são armazenados e, em última instância, como são distribuídas
Pontos a ter em conta para garantir a segurança dos dados ao usar estas aplicações
Este tipo de serviços para rastreio à COVID-19 guardam uma grande quantidade de dados, por isso para preservar o máximo do anonimato a Check Point recomenda não vincular nenhum identificador pessoal (número de telefone, dados pessoais, etc …) a estas aplicações. No entanto, também é aconselhado:
- Só efetuar downloads de aplicações de lojas oficiais: instalar as aplicações de rastreio de contactos para o controlo de COVID-19 somente através das lojas oficiais de aplicações, já que só permitem que entidades governamentais autorizadas publiquem este tipo de ferramentas.
- Utilizar soluções de segurança móvel: Descarregar e instalar uma solução de segurança móvel para analisar as aplicações e proteger o dispositivo contra o malware, bem como para verificar que o dispositivo não tenha sido infetado.
Leia também…