Apps de rastreamento da covid-19 podem ameaçar cibersegurança

Com o intuito de controlar o avanço do novo coronavírus, empresas e governos mundo afora têm recorrido a aplicativos para fins de rastreamento de pessoas que testaram positivo para a covid-19. Entretanto, especialistas alertam para a segurança e privacidade dos dados pessoais que podem ficar fragilizadas com a instalação desses apps.

“A sociedade ainda não sabe o quão confiáveis e seguros são os aplicativos de rastreamento de contatos. No entanto, após uma revisão inicial, esses tipos de serviços levantaram algumas preocupações sérias para nós”, explica Fernando de Falchi, Gerente de Engenharia de Segurança da Check Point Brasil. “Os aplicativos de rastreamento de contatos devem encontrar um sutil equilíbrio entre privacidade e segurança, pois a aplicação incorreta dos regulamentos de segurança pode comprometer os dados dos usuários. Portanto, ao instalar ou usar esses serviços, é essencial saber quais dados são coletados, como são armazenados e, finalmente, como eles são distribuídos”, complementa.

• Podcast: Monitoramento da pandemia poderá criar um estado de vigilância?

Pesquisadores da Check Point indicam os quatro principais riscos à privacidade de usuários proveniente de aplicativos de rastreamento de contato, de forma geral:

Dispositivos podem ser rastreados

Alguns desses aplicativos de rastreamento exigem o uso do Bluetooth Low Energy (BLE) para funcionar, permitindo que os dispositivos emitam faixas de sinais que facilitam a identificação do contato com outros dispositivos. No entanto, se não for implementado corretamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa mapeando a ele e a seus respectivos pacotes de sinais de identificação.

Segurança dos dados pessoais pode ser comprometida

Os aplicativos armazenam registros de contatos, chaves de criptografia e outros dados confidenciais nos dispositivos. Essas informações devem ser cifradas e armazenadas na sandbox de proteção de segurança do aplicativo e não em locais compartilhados. No entanto, mesmo dentro do local seguro na sandbox, se um cibercriminoso obtiver permissões de root ou acesso físico ao dispositivo pode comprometer a privacidade dos dados, especialmente se forem armazenadas informações sensíveis como a localização do GPS, que podem expor dados, como viagens feitas pelo usuário ou locais onde ele esteve nos dias ou semanas anteriores.

Interceptar o tráfego de aplicativos

Os usuários podem ser suscetíveis a ataques “man-in-the-middle”, o que permitiria a um cibercriminoso interceptar todo o tráfego de dados entre o dispositivo e o servidor de aplicativos, caso essa comunicação não esteja corretamente cifrada.

Relatórios de saúde também podem ficar comprometidos

Os pesquisadores da Check Point alertam que é importante que os aplicativos de contato se autentiquem quando as informações são enviadas para seus servidores, como quando um usuário envia seu diagnóstico e registro de contatos. Sem a devida autorização, pode ser possível inundar os servidores com relatórios de integridade falsos, questionando a confiabilidade de todo o sistema.

Como garantir a segurança dos dados

Esse tipo de serviço coleta uma grande quantidade de dados; assim, para preservar o máximo de anonimato, a Check Point recomenda não vincular qualquer identificador pessoal (número de telefone, dados pessoais e outros dados) a esses aplicativos. Além disso, a empresa também orienta:

Fazer o download de aplicativos apenas de lojas oficiais: como vários aplicativos falsos já foram detectados durante a pandemia, a recomendação da empresa para os usuários é instalar aplicativos de rastreamento de contato para o controle da Covid-19 somente através de lojas oficiais de aplicativos, uma vez que eles permitem que apenas as agências governamentais autorizadas publiquem esses aplicativos.

Usar soluções de segurança móvel: fazer o download e instalar uma solução de segurança móvel para analisar aplicativos e proteger o dispositivo contra malware, além de verificar se o dispositivo não foi infectado.