Está a usar aplicações de rastreio de contágios da COVID-19? Tenha isto em atenção para garantir a privacidade de dados
A luta contra a COVID-19 continua, sobretudo para evitar contágios e uma nova propagação do vírus. Para isso, são muitas as entidades e governos de todo o mundo que estão a desenvolver aplicações móveis para poderem rastrear as pessoas que deram positivo nos testes de detecção do vírus.
Os investigadores da Check Point® Software Technologies advertem para os riscos da instalação deste tipo de serviços e salientam os quatro principais ciber-riscos para a privacidade dos utilizadores que podem suceder com o uso destas aplicações:
1. Pode-se rastrear os dispositivos
Algumas destas aplicações de rastreio requerem o uso de Bluetooth de baixa energia (BLE) para que funcionem, permitindo aos dispositivos emitir sinais que facilitam a identificação do contacto com outros dispositivos. Se não se implementarem correctamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa correlacionando o dispositivo e os seus respectivos pacotes de sinais de identificação.
2. A segurança dos dados pessoais pode ficar comprometida
Obviamente, as aplicações armazenam registos de contacto, chaves cifradas e outros dados sensíveis nos dispositivos. Esta informação deve ser cifrada e armazenada na sandbox de segurança da aplicação e não em áreas partilhadas. No entanto, mesmo dentro de uma área segura como a sandbox, se um cibercriminoso obtiver permissão de acesso físico ao dispositivo pode pôr em risco a privacidade dos dados, sobretudo se armazenar informação tão sensível como a localização GPS, que pode disponibilizar dados como viagens efectuadas pelo utilizador ou locais em que tenha estado nos dias ou semanas anteriores.
3. Interceptar o tráfego de uma aplicação
Os utilizadores podem ser susceptíveis a sofrer ataques “man-in-the-middle”, que permite aos cibercriminosos interceptar todo o tráfego de dados entre o dispositivo e o servidor da aplicação se estas comunicações não estiverem correctamente cifradas.
4. Receber grandes quantidades de informação falsa através de relatórios de saúde
Os investigadores da Check Point advertem que é importante que as aplicações de contacto realizem uma autenticação quando a informação seja enviada para os seus servidores, como por exemplo quando um utilizador envia o seu diagnóstico e registo de contactos. Sem a devida autorização, poderá ser possível inundar os servidores com relatórios de saúde falsos, o que colocaria em causa a fiabilidade de todo o sistema.
«A sociedade ainda não sabe o quão fiáveis e seguras são as aplicações de rastreio de contactos. No entanto, após uma revisão inicial, este tipo de serviços deixou-nos algumas sérias preocupações. As aplicações de rastreio de contactos devem manter um delicado equilíbrio entre a privacidade e a segurança, já que uma deficiente aplicação das normas de segurança pode pôr em perigo os dados dos utilizadores. Portanto, ao instalar ou utilizar este tipo de serviços, é fundamental que dados recolhem, como são armazenados e, em última instância, como são distribuídos», afirma Rui Duro, Country manager da Check Point Software Portugal.
Este tipo de serviços guardam uma grande quantidade de dados, por isso para preservar o máximo do anonimato a Check Point recomenda não vincular nenhum identificador pessoal (número de telefone, dados pessoais) a estas aplicações. No entanto também é aconselha:
1. Só efectuar downloads de aplicações de lojas oficiais: Instalar as aplicações de rastreio de contactos para o controlo de COVID-19 somente através das lojas oficiais de aplicações, já que só permitem que entidades governamentais autorizadas publiquem este tipo de ferramentas.
2. Utilizar soluções de segurança móvel: Descarregar e instalar uma solução de segurança móvel para analisar as aplicações e proteger o dispositivo contra o malware, bem como para verificar que o dispositivo não tenha sido infectado.