O sistema operativo móvel Android, da Google, tinha uma falha que permitia que as aplicações pré-instaladas pudessem aceder aos dados de app oficiais de rastreio à Covid-19, como a portuguesa StayAway Covid. Ao Observador, a Google reconheceu o problema e diz que está a resolvê-lo. A empresa diz ainda que não há “nenhuma indicação” sobre a falha ter sido utilizada “de forma inadequada”.

Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis para algumas aplicações pré-instaladas para fins de debugging [resolução de falhas técnicas]. Analisámos o problema, considerámos atenuantes, atualizámos o código e estamos a garantir que a correção é distribuída aos utilizadores”, diz a Google.

Coordenador da StayAway Covid reconhece: “Falhámos todos”

PUB • CONTINUE A LER A SEGUIR

Na origem desta falha está a forma como o sistema de rastreio Bluetooth, criado pela Apple e pela Google, armazenava os dados. Para funcionar, estas apps usam um sistema “Google/Apple Exposure Notification”, conhecido como GAEN, que disponibiliza o acesso a funcionalidades ao nível do sistema operativo do telemóvel e permite a emissão de identificadores que, teoricamente, permitem manter o anonimato dos dados. Ao contrário do Android, o sistema operativo móvel da Apple, o iOS, não foi afetado.

As Notificações de Exposição usam tecnologia que preserva a privacidade para ajudar as autoridades de saúde pública na gestão da disseminação da COVID-19 e a salvar vidas. Com o sistema de Notificação de Exposição, nem a Google, a Apple, nem outros utilizadores podem ver a sua identidade e todas as correspondências de Notificação de Exposição acontecem no seu dispositivo”, refere um porta-voz da Google.

De acordo com a Google, os “identificadores Bluetooth não revelam a localização de um utilizador ou fornecem qualquer outra informação de identificação”. A empresa diz que o lançamento da atualização começou a começou há várias semanas e será concluído nos próximos dias.

Apenas três mil códigos depois, o que aconteceu à app de rastreio à Covid-19?

Na quinta-feira, o Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC), responsável pela app em Portugal, disse à Exame Informática que a aplicação portuguesa esteve vulnerável devido a esta falha. O Observador tentou contactar o instituto relativamente a esta questão, estando a aguardar resposta.

Esta falha de segurança foi descoberta por Joel Reardon, cofundador e responsável de cibersegurança na AppCensus, como avançou a The Markup. De acordo com Reardon, a Google foi alertada em fevereiro. “Esta correção é uma coisa de uma linha na qual se remove uma linha que regista informações confidenciais nos ficheiros do sistema”, alega o programador, adiantando que tal “não afeta o programa” nem “muda a forma como funciona”.

Num comunicado enviado às redações esta madrugada, a Associação D3 – Defesa dos Direitos Digitais, divulgou o problema e diz que esta falha mostra que “não existe uma total transparência sobre funcionamento global do sistema”. “Este caso vem demonstrar que a Comissão Nacional de Proteção de Dados tinha toda a razão ao apontar que ‘o recurso à interface da Google e da Apple é um dos aspetos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento‘”, critica a associação.

Centro Nacional de Ciberseguranca não revela se encontrou falhas na app Stayaway

A aplicação StayAway Covid foi lançada oficialmente a 1 de setembro de 2020 após várias datas de lançamento anunciadas e não cumpridas. Até março, a app registou pouco mais de três milhões de downloads (3.068.978). Destes, 2.203.823 foram feitos através da PlayStore, a loja de aplicações do sistema operativo Android; 576.312 foram através da App Store, do iOS; e 288.843 da montra de apps para os Huawei. Até essa data, tinham sido inseridos na app apenas cerca de três mil códigos que identificavam um utilizador com um caso positivo à Covid-19.

*Artigo atualizado às 17h07 com informação de que “nos próximos dias” vai ser concluído o lançamento da atualização que resolve o problema.