O Reino Unido está a preparar-se para lançar uma aplicação de rastreamento de contactos para monitorizar a evolução da pandemia de COVID-19. A solução tecnológica está a gerar polémica por não se basear nas APIs que a Apple e a Google criaram, levantando questões sobre a privacidade dos utilizadores. Agora, uma equipa de investigadores de cibersegurança descobriu que a aplicação que está a ser testada na Ilha de Wight tem falhas críticas de segurança.

Os especialistas explicam que a solução tecnológica é vulnerável aos ataques de hackers. Os cibercriminosos podem interceptar as notificações enviadas pela aplicação e impedir que cheguem aos smartphones ou, então, enviar informação falsa a indicar que alguém está infetado.

Através da aplicação, os dados desencriptados nos smartphones dos utilizadores podem ser acedidos pelas autoridades. Além disso, a app britânica de rastreamento de contactos apenas troca o código de identificação dos utilizadores uma vez por dia. Por contraste, a solução da Apple e da Google fá-lo a cada 15 minutos.

O relatório realizado pelos especialistas já foi partilhado com o National Cyber Security Centre (NCSC). A autoridade afirma que já está a resolver algumas das falhas encontradas.

Como funciona a app britânica de rastreamento da COVID-19?

O Governo britânico optou por um modelo de aplicação centralizado, descartando as propostas da Google e da Apple. Depois dos utilizadores a instalarem, é atribuído ao smartphone uma identificação numérica, seguindo-se o registo da primeira metade do código postal e o modelo de equipamento. Diariamente, o dispositivo gera um código de identificação que será comunicado, via Bluetooth, a outros equipamentos por perto que tenham a app instalada.

App de controlo da COVID-19 escolhida pelo Reino Unido levanta questões de privacidade
App de controlo da COVID-19 escolhida pelo Reino Unido levanta questões de privacidade
Ver artigo

Sempre que a aplicação deteta outra pessoa por perto, regista o evento de proximidade. Nela, os utilizadores podem registar eventuais sintomas que tenham ou um diagnostico positivo. A solução irá então consultar os registos de eventos de proximidade desse utilizador e alertar os serviços de saúde com a informação de outros smartphones com quem se tenha eventualmente cruzado nos últimos 14 dias.

No entanto, ao não usar as APIs da Google e da Apple, os novos equipamentos não suportam os pings constantes do sinal de Bluetooth quando a app não está ativa no ecrã, e a funcionar em fundo. Um utilizador que tenha um smartphone recente, mesmo com a app do Governo ligada, a correr em fundo, não está de facto a comunicar o sinal da solução tecnológica. Por exemplo, se duas pessoas que se cruzarem na rua com o iPhone bloqueado no bolso, não será possível registar o contacto entre ambos.