O combate à COVID-19 prossegue, especialmente para prevenir infecções e uma nova onda de disseminação do vírus. Para fazer isso, existem muitas empresas e governos no mundo que desenvolvem aplicativos móveis com os quais podem rastrear as pessoas que tiveram resultado positivo para o vírus. No entanto, os pesquisadores da Check Point alertam para os riscos da instalação desses tipos de aplicativos de serviços e indicam os quatro principais riscos cibernéticos à privacidade de usuários proveniente deles:
1) Os dispositivos podem ser rastreados: alguns desses aplicativos de rastreamento exigem o uso do Bluetooth Low Energy (BLE) para funcionar, permitindo que os dispositivos emitam faixas de sinais que facilitam a identificação do contato com outros dispositivos. No entanto, se não for implementado corretamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa mapeando-o e seus respectivos pacotes de sinais de identificação.
2) A segurança dos dados pessoais pode ser comprometida: obviamente, os aplicativos armazenam registros de contatos, chaves de criptografia e outros dados confidenciais nos dispositivos. Essas informações devem ser cifradas e armazenadas na sandbox de proteção de segurança do aplicativo e não em locais compartilhados. No entanto, mesmo dentro do local seguro na sandbox, se um cibercriminoso obtiver permissões de root ou acesso físico ao dispositivo pode comprometer a privacidade dos dados, especialmente se forem armazenadas informações sensíveis como a localização do GPS, que podem expor dados, como viagens feitas pelo usuário ou locais onde ele esteve nos dias ou semanas anteriores.
3) Interceptar o tráfego de aplicativos: os usuários podem ser suscetíveis a ataques “Man-in-the-Middle”, o que permitiria a um cibercriminoso interceptar todo o tráfego de dados entre o dispositivo e o servidor de aplicativos, caso essa comunicação não esteja corretamente cifrada.
4) Receber grandes quantidades de informações falsas sobre relatórios de saúde: Os pesquisadores da Check Point alertam que é importante que os aplicativos de contato se autentiquem quando as informações são enviadas para seus servidores, como quando um usuário envia seu diagnóstico e registro de contatos. Sem a devida autorização, pode ser possível inundar os servidores com relatórios de integridade falsos, questionando a confiabilidade de todo o sistema.
Dicas para garantir a segurança dos dados ao usar esses aplicativos
Esse tipo de serviço coleta uma grande quantidade de dados; assim, para preservar o máximo de anonimato, a Check Point recomenda não vincular qualquer identificador pessoal (número de telefone, dados pessoais e outros dados) a esses aplicativos. Além disso, a empresa também orienta:
1) Fazer o download de aplicativos apenas de lojas oficiais: como vários aplicativos falsos já foram detectados durante a pandemia, a recomendação da Check Point para os usuários é instalar aplicativos de rastreamento de contato para o controle da COVID-19 somente através de lojas oficiais de aplicativos, uma vez que eles permitem que apenas as agências governamentais autorizadas publiquem esses aplicativos.
2) Usar soluções de segurança móvel: fazer o download e instalar uma solução de segurança móvel para analisar aplicativos e proteger o dispositivo contra malware, além de verificar se o dispositivo não foi infectado.
“A sociedade ainda não sabe o quão confiáveis e seguros são os aplicativos de rastreamento de contatos. No entanto, após uma revisão inicial, esses tipos de serviços levantaram algumas preocupações sérias para nós. Os aplicativos de rastreamento de contatos devem encontrar um sutil equilíbrio entre privacidade e segurança, pois a aplicação incorreta dos regulamentos de segurança pode comprometer os dados dos usuários. Portanto, ao instalar ou usar esses serviços, é essencial saber quais dados são coletados, como são armazenados e, finalmente, como eles são distribuídos”, explica Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Brasil.
