Aluno do IPVC encontra falha na app StayAway COVID

Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um bug (erro) que afeta a app StayAway COVID.

A descoberta, que surge na sequência da investigação que se encontra a realizar no âmbito da tese de mestrado, foi reportada e depois reconhecida pela Google como uma vulnerabilidade e mereceu a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas da Google.

A vulnerabilidade detetada, agora identificada como “advertising overflow”, permite “que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”. Este ataque, explicam, “compromete o comportamento de rastreamento esperado na app, não permitindo a transmissão de dados. Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”. Ou seja, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contatos em vários países”.

Esta vulnerabilidade foi reportada à Google no programa de recompensa de vulnerabilidades, Google Vulnerability Reward Program. A análise da Google confirmou a existência desta vulnerabilidade e foi dada uma menção honrosa aos investigadores no Bughunter Hall of Fame da Google.