A versão para Android do sistema de Notificação de Exposição (Exposure Notifications), a ferramenta do Google e Apple que permite rastrear os contatos com pessoas contagiadas com COVID-19, apresenta uma vulnerabilidade que permite a alguns aplicativos pré-instalados acessarem os dados do usuário.
Trata-se da informação que indica se o usuário teve contato com uma pessoa que tenha testado positivo para a COVID-19. Desta maneira, a falha contraria as promessas dos diretores do Google e Apple, Sundar Pichai e Tim Cook, que asseguram que os dados confidenciais não podem ser compartilhados fora dos dispositivos.
O portal especializado AppCensus descobriu a falha em fevereiro, durante um teste do sistema realizado como parte de um projeto conjunto com o Departamento de Segurança Nacional dos EUA.
Desde então, o erro foi reportado, porém a Google não tomou providências. O cofundador da AppCensus, Joel Reardon, explica que seria muito fácil solucionar o problema.
"É necessário apenas eliminar diversas linhas não essenciais do código, algo que não influiria no funcionamento do aplicativo", afirmou.
Além disso, ele ressaltou que a versão do aplicativo para iOS não apresenta esta falha.
O porta-voz do Google, José Castañeda, declarou ao portal The Markup que os engenheiros da empresa já estão trabalhando em um pacote para resolver o problema. Espera-se que nos próximos dias todos os dispositivos Android recebam esta importante atualização.
A ferramenta criptografa os sinais Bluetooth entre o smartphone do usuário e outros dispositivos que possuem o sistema ativado.
Se um usuário testar positivo para COVID-19, pode solicitar às autoridades sanitárias que enviem uma notificação aos dispositivos em sua região.
Os sinais mudam a cada 15 minutos para que seja difícil identificar uma pessoa contagiada, sendo armazenados nos registros do sistema.
Nos celulares com Android, os sinais são guardados em uma parte da memória normalmente fechada para outros aplicativos. No entanto, mais de 400 aplicativos pré-instalados podem acessar estes dados em caso de falha ou para fins analíticos, contudo, não se sabe se algum deles os coleta.
O diretor de tecnologia da AppCensus, Serge Egelman, publicou em seu Twitter: "Esperamos que a lição aqui seja que conseguir a privacidade correta é realmente difícil, nos sistemas serão sempre descobertas vulnerabilidades, mas é do interesse de todos trabalharmos juntos para resolver estas questões."