COVIDSafe: A vulnerabilidade foi identificada e corrigida no aplicativo!

Pesquisadores australianos publicaram as conclusões de um estudo que levanta outras questões sobre a aplicação da detecção de contato COVIDSafe, lançada pelo governo federal australiano como parte da pandemia do COVID-19. Jim Mussared, da George Robotics, e Alwen Tiu, da Universidade Nacional Australiana, identificaram um problema “silencioso” com aplicativos de detecção de contato baseados em Bluetooth, desta vez em dispositivos Android. Essa é uma vulnerabilidade que pode permitir que um invasor se conecte silenciosamente a um dispositivo Android executando uma versão vulnerável do aplicativo. O processo de conexão inclui identificações permanentes do telefone da vítima: o endereço IP do dispositivo Bluetooth e uma chave criptográfica chamada “Identity Resolving Key” (IRK). Um desses IDs pode ser usado para monitoramento de longo prazo de um telefone por um invasor. Explicando as descobertas da pesquisa, Mussared disse que é mais provável que essa vulnerabilidade permita que um invasor seja silenciosamente conectado ao telefone de um usuário enquanto estiver executando o aplicativo COVIDSafe. Em particular, ele ressaltou que, uma vez concluído o acoplamento, o invasor tem a oportunidade de monitorar permanentemente o telefone, mesmo após desinstalar o aplicativo COVIDSafe ou restaurar as configurações de fábrica do telefone. A maneira como isso é feito é com o relatório de endereço MAC, que responderá aos pings do L2CAP, acrescentou ele em um tweet. A vulnerabilidade foi relatada ao DTA há 45 dias e reparada com o COVIDSafe versão 1.0.18 há 24 dias.

Mussared disse que foi “realmente ótimo” o DTA encontrar uma solução para o problema, mas expressou preocupação de que o aplicativo COVIDSafe dependesse do uso do Bluetooth de uma maneira que não foi projetada para ele. está conectado a qualquer dispositivo não confiável que esteja dentro do alcance. Esse problema foi consequência do não uso da API de notificação de exposição da Apple / Google. Se a API EN fosse usada, o aplicativo seria mais funcional, confiável e seguro. Embora a versão local seja estável, a vulnerabilidade pode afetar muitos outros aplicativos de detecção de contato que possuem arquitetura semelhante, como o TraceTogether de Cingapura e o ABTraceTogether de Alberta.

O Reino Unido decidiu abolir seu próprio aplicativo de rastreamento e confiará nas APIs do Google e da Apple. Embora não seja uma solução viável, neste momento um aplicativo baseado na API do Google ou da Apple parece enfrentar algumas das limitações identificadas pelos testes, de acordo com o Ministério da Saúde e Bem-Estar Social do Reino Unido. No entanto, ainda há muito a ser feito com relação à solução do Google e da Apple, que atualmente não estima a distância da maneira necessária. No início desta semana, foi revelado que o DTA estava ciente de que o aplicativo COVIDSafe apresentava falhas graves, apesar de promovê-lo para uso público em 26 de abril de 2020. Além disso, de acordo com a pesquisa, os iPhones bloqueados transmitem dados “ruins”. Avaliação. O engenheiro de software Richard Nelson publicou uma pesquisa mostrando que os iPhones bloqueados eram praticamente inúteis na gravação pelo aplicativo COVIDSafe. Ela também disse que um iPhone bloqueado com um ID expirado não pode criar um novo ID e que, sem um ID, o dispositivo detectará outros dispositivos ao seu redor, mas não poderá ser detectado por outros dispositivos.

O DTA informou em maio que testes haviam sido realizados na operação e desempenho das versões Apple iOS e Google Android do aplicativo COVIDSafe antes de seu lançamento. Em particular, foram realizados 179 testes funcionais. Testes de desempenho também foram realizados com base nos requisitos técnicos. O DTA disse ao ZDNet que continua recebendo feedback dos desenvolvedores sobre o aplicativo COVIDSafe, observando que continuará lançando atualizações para ele, com o objetivo de oferecer uma variedade de melhorias de desempenho, segurança e acessibilidade, conforme necessário. Por fim, ele ressaltou que a comunidade australiana não precisa se preocupar, pois o aplicativo funciona com segurança e eficácia. Na última sexta-feira, mais de 6,3 milhões de australianos baixaram o aplicativo. Quanto a aplicativos semelhantes em outros países, o aplicativo Corona-Warn da Alemanha atingiu 6,5 milhões de downloads em 24 horas, o que significa que foi baixado por cerca de 7,8% da população do país.