segunda, 14 junho 2021
Imagem topo

Aluno do Politécnico de Viana do Castelo encontra BUG na App StayAway COVID

Publicado quarta, 19 maio 2021 08:28

Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um Bug que afeta a app StayAway [...]


Henrique Faria, aluno de Mestrado de CiberSegurança, da Escola Superior de Tecnologia e Gestão do Politécnico de Viana do Castelo, recebeu uma Menção Honrosa por parte da Google, após ter detetado um Bug que afeta a app StayAway COVID. A descoberta, que surge na sequência da investigação que se encontra a realizar no âmbito da tese de mestrado, foi reportada e depois reconhecida pela Google como uma vulnerabilidade e mereceu a colocação do aluno e dos dois docentes orientadores - Pedro Pinto e Sara Paiva, no Quadro de Menções Honrosas da Google. Este output vem premiar e reforçar a excelência da investigação que se desenvolve no Politécnico de Viana do Castelo.

Na prática, a vulnerabilidade detetada, agora identificada como “advertising overflow”, permite que um atacante interrompa a transmissão Bluetooth do GAEN (Google/Apple Exposure Notification) com uma aplicação maliciosa instalada no mesmo dispositivo”. Este ataque, explicam, "compromete o comportamento de rastreamento esperado nesta app, não permitindo a transmissão de dados. Num cenário real, este ataque pode, dependendo de quão disseminado está entre os dispositivos, efetivamente parar ou reduzir drasticamente o rastreamento e a eficiência do GAEN porque nenhum desses dados serão transmitidos”. Ou seja, “qualquer utilizador confirmado como infetado e que envie os seus dados para que outros utilizadores possam verificar se foram expostos, não acionará nenhum aviso de exposição. A implementação deste ataque num SDK que seja usado por muitas aplicações pode comprometer a eficácia do sistema de rastreamento de contatos em vários países”.

Esta vulnerabilidade foi reportada à Google no programa de recompensa de vulnerabilidades, Google Vulnerability Reward Program. A análise da Google confirmou a existência desta vulnerabilidade e foi dada uma menção honrosa aos investigadores no Bughunter Hall of Fame da Google.

logo branco

Quinzenário do concelho de Vila Nova de Cerveira. Medalha de mérito concelhio.

Estatuto Editorial do Cerveira Nova

geral@cerveiranova.pt
Telefone: +351 251 794 762

cerveirafm

Subscreva a nossa newsletter e receba as nossas novidades em primeira mão.