Catar: aplicativo de rastreamento de contatos coloca em risco mais de um milhão de pessoas
As autoridades corrigiram a falha no aplicativo que é obrigatório.
Os aplicativos de rastreamento de contatos têm o potencial de diminuir a propagação do COVID-19. Mas, sem as devidas salvaguardas de segurança, alguns temem que possam colocar em risco os dados e as informações confidenciais dos usuários. Até agora, essa ameaça era teórica. Hoje, a Anistia Internacional relata que uma falha no aplicativo de rastreamento de contatos do Qatar coloca em risco as informações pessoais de mais de um milhão de pessoas.
A falha, agora corrigida, tornava informações como nomes, IDs nacionais, status de saúde e dados de localização vulneráveis a ataques cibernéticos. O Laboratório de Segurança da Anistia descobriu a falha em 21 de maio e afirma que as autoridades a corrigiram em 22 de maio. A vulnerabilidade tinha a ver com códigos QR que incluíam informações confidenciais. A atualização retirou alguns desses dados dos códigos QR e adicionou uma nova camada de autenticação para impedir o jogo sujo.
O aplicativo do Catar, chamado EHTERAZ, usa GPS e Bluetooth para rastrear casos de COVID-19 e, na semana passada, as autoridades o tornaram obrigatório. Segundo a Anistia, as pessoas que não usam o aplicativo podem pegar até três anos de prisão e uma multa de QR 200.000 (cerca de R$ 294.041,00).
“Esse incidente deve funcionar como um aviso para os governos de todo o mundo lançarem aplicativos de rastreamento de contatos que muitas vezes são mal projetados e carecem de salvaguardas de privacidade. Para que a tecnologia tenha um papel efetivo no combate ao vírus, as pessoas precisam ter confiança de que os aplicativos de rastreamento de contatos protegerão sua privacidade e outros direitos humanos “, afirmou Claudio Guarnieri, chefe do Laboratório de Segurança da Anistia Internacional.
Para que aplicativos de rastreamento de contatos como o EHTERAZ funcionem, eles precisam de ampla adoção – a Anistia diz que exigir dos aplicativos não é a abordagem correta. Erros de segurança como esse podem desencorajar as pessoas a usar os aplicativos e prejudicar os esforços para diminuir a propagação do vírus.
O passo em falso do Catar pode incentivar mais países a adotar o modelo Apple-Google. A API “descentralizada” armazena informações confidenciais nos telefones dos usuários, em vez de um servidor centralizado. Ele usa o Bluetooth para trocar chaves e não coleta dados de localização. Embora a API Apple-Google não consiga identificar usuários, talvez os aplicativos que usam a API. Portanto, as políticas de segurança e privacidade devem ser examinadas aplicativo a aplicativo. Esperamos que incidentes como esse permaneçam raros.
E querem a qualquer custo, enfiar goela a baixo dos brasileiros, um sistema como esse. E você o que acha disso?
