Para ajudar na localização de possíveis indivíduos contaminados, os aplicativos de rastreamento da Covid-19 – chamados popularmente de “rastreadores Covid” – servem tanto como ferramenta de diagnóstico precoce quanto fonte de estatística para vários governos que os desenvolve e implementa. Entretanto, muitas dessas aplicações podem comprometer a segurança e a privacidade dos seus usuários.
Segundo a empresa de cibersegurança Eset, dentre as 17 aplicações Android pertencentes a autoridades de países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai, 14 dessas utilizavam o banco de dados da Firebase Realtime Database para armazenar dados coletados. Ao analisar a segurança dessa base, foram apontados alguns casos apresentando erros de configuração que impactavam na segurança e na privacidade de dados.
Além disso, a empresa descobriu que dois desses softwares, ambos da Argentina, possuíam vulnerabilidades que poderiam ser exploradas por cibercriminosos. Isso porque os sistemas estão conectados a bancos de dados públicos para o processamento de dados pessoais (nome completo, data de nascimento, e-mails, pontos de geolocalização, números de telefone e dados médicos). Entretanto, de acordo com a Eset, essas vulnerabilidades foram corrigidas pouco antes da publicação da descoberta.
Vulnerabilidades em aplicativos
Segundo a empresa, encontrar bancos de dados vulneráveis em apps mobile é algo bastante comum. Uma pesquisa publicada pelo site Comparitech em maio deste ano mostrou que 4,8% dos aplicativos atuais que usam o Firebase do Google, muitas vezes apresentam configurações mal definidas, permitindo ao invasor recuperar dados armazenados em diferentes níveis do caminho.
Segundo os pesquisadores, 0,83% de todos os aplicativos disponíveis no Google Play expõem os dados dos usuários por meio do Firebase. Isso representa um total de 24 mil apps vulneráveis. “A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, quais informações queremos proteger e testar nos bancos de dados para garantir que eles não sejam suscetíveis a esse tipo de ataque”, diz Denise Giusto Bilic, analista de segurança da informação da Eset América Latina.