Um estudo produzido pela Intertrust afirma que a maioria dos aplicativos
usados para monitorar a proliferação do novo coronavírus
(Sars-Cov-2) não são seguros. Foram investigados 100 aplicativos de saúde ao redor do mundo, incluindo os de iniciativas como do Google
e Apple
para rastreamento da doença.
Segundo o relatório, 71% dos aplicativos de saúde têm pelo menos uma vulnerabilidade crítica que poderia resultar em um vazamento de dados
. Ainda mais alarmante, 91% dos apps analisados falharam em um ou mais testes criptográficos.
Isso não significa que eles não possuem criptografia . Mas, sim, que são mais vulneráveis e podem ter a criptografia mais facilmente quebrada. Apesar dos dados, o relatório não divulgou abertamente quais são as falhas encontradas.
Você viu?
Sobre aplicativos específicos voltados para monitorar a Covid-19 , o relatório aponta que 85% deles podem resultar em um vazamento de dados. No caso do sistema compartilhado por Apple e Google no Android e iOS , é utilizado o Bluetooth para alertar o usuário se ele esteve recentemente em contato com alguém que testou positivo para a doença. Ambas as empresas alegam que não são coletados dados que possam identificar as pessoas.
Falhas podem ser corrigidas
O estudo sugere que esses problemas de segurança podem ser corrigidos. É citado, por exemplo, que 83% das ameaças de alto nível que foram encontradas poderiam ser resolvidas com tecnologias de proteção já utilizadas em outros serviços – especialmente na detecção de violações e criptografia.
"Infelizmente, há um histórico de vulnerabilidades de segurança na área de saúde e medicina", disse Bill Horne, CTO da Intertrust.
Comparando os sistemas móveis, o Android (34% dos apps) é o que mais sofre com vulnerabilidades que permitem extrair a chave de criptografia. Cerca de 60% dos apps de saúde da plataforma também armazenam informações em locais não criptografados e que podem ser legíveis e editadas. No iOS , cerca de 28% dos aplicativos trazem falhas do tipo.
A lista de aplicativos reúne ferramentas de organizações em todo o mundo. Foram feitos testes de segurança nos software usando as técnicas 'SAST' (Static Application Security Testing) e 'DAST' (Dynamic Application Security Testing).