A falha “iria gerar o pânico caso exista uma nova vaga, possibilitando gerar um alerta num número alargado de pessoas como possivelmente estando contaminadas com a COVID-19”, explica André Cirne, o estudante do mestrado em Segurança Informática da Faculdade de Ciências da Universidade do Porto (FCUP) responsável pela deteção de uma vulnerabilidade de “alto risco” no sistema DP-3T, utilizado em grande parte das aplicações desenvolvidas em todo o mundo para rastreio das redes de contágio por COVID-19.

Criado para simplificar o processo de notificação de pessoas que podem ter estado expostas ao novo coronavírus, o DP-3T é um sistema digital de rastreio de proximidade que visa preservar a privacidade e a segurança dos utilizadores.

Contudo, a vulnerabilidade reportada por André Cirne, corrigida, entretanto, pela equipa de desenvolvimento do DP-3T, permitiria “a um atacante não precisar de autorização da autoridade de saúde para se identificar como doente COVID-19”.

Segundo o estudante da FCUP, a falha detetada, “para além de afetar todas as aplicações que usam esta serviço”, poderia então “gerar o pânico, criando pressão extra no sistema de saúde”. A sua comunicação ao consórcio do DP-3T permitiu assim corrigir uma vulnerabilidade classificada como “alto risco”, uma vez que compromete a integridade do sistema.

Entre as apps baseadas no sistema DP-3T, e que já foram corrigidas, inclui-se a portuguesa STAY AWAY COVID, que está a ser desenvolvida pelo INESC TEC e pelo Instituto de Saúde Pública da Universidade do Porto (ISPUP). De resto, vários países que adotaram o código disponibilizado pelo consórcio tinham a sua solução vulnerável também.

André Cirne defende, por isso, que as empresas mostrem o seu código para que pessoas como ele possam ajudar e contribuir na segurança do sistema, tal como fez o INESC TEC. “Ao optarem por código aberto, estes sistemas criam a possibilidade para pessoas com especialização em áreas como a cibersegurança analisarem e contribuírem para uma solução mais robusta”, conclui o estudante.