Quantcast
 
 

Aluno do Politécnico de Viana do Castelo encontra BUG na App StayAway COVID

Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um Bug que afeta a app StayAway COVID. A descoberta, que surge na sequência da investigação que se encontra a realizar no âmbito da tese de mestrado, foi reportada e depois reconhecida pela Google como uma vulnerabilidade e mereceu a colocação do aluno e dos dois docentes orientadores – Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas da Google. Este output vem premiar e reforçar a excelência da investigação que se desenvolve no Politécnico de Viana do Castelo.

 

Na prática, a vulnerabilidade detetada, agora identificada como “advertising overflow”, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”. Este ataque, explicam, “compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados. Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”. Ou seja, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contatos em vários países”.

 
 

Esta vulnerabilidade foi reportada à Google no programa de recompensa de vulnerabilidades, Google Vulnerability Reward Program. A análise da Google confirmou a existência desta vulnerabilidade e foi dada uma menção honrosa aos investigadores no Bughunter Hall of Fame da Google.

StayAway COVID

 
 

A Google e a Apple desenvolveram o sistema Exposure Notifications para permitir rastrear contatos entre utilizadores e a possibilidade de infeção com o vírus COVID-19.

Aplicações como a StayAway COVID recorrem ao GAEN para, através do Bluetooth, trocarem

 

identificadores anónimos que mais tarde serão utilizados para verificar a possibilidade de infeção. Caso isso se verifique, o utilizador recebe uma notificação no seu dispositivo a informar que esteve exposto a alguém infetado.

Comentários

comentários

 

Você pode gostar...

Deseja ativar as notificações Sim Não