Imagem:DR
André Cirne, estudante do nosso Mestrado em Segurança Informática no DCC-FCUP descobriu de uma importante vulnerabilidade no DP-3T, o protocolo/framework usado em muitos países europeus para digital contact tracing nas "apps" do COVID-19.
O DP-3T é um sistema digital de rastreio de proximidade que visa preservar a privacidade e a segurança dos utilizadores. Foi criado para simplificar o processo de notificação de pessoas que podem ter estado expostas ao novo corovírus
A vulnerabilidade reportada por André Cirne, corrigida entretanto pela equipa de desenvolvimento do DP-3T, permitiria “a um atacante não precisar de autorização da autoridade de saúde para se identificar como doente COVID-19”.
Entre as apps baseadas no sistema DP-3T, e que já foram corrigidas, inclui-se a portuguesa STAY AWAY COVID, que está a ser desenvolvida pelo INESC TEC e pelo Instituto de Saúde Pública da Universidade do Porto (ISPUP).
Os vários países que adotaram o código disponibilizado pelo consórcio tinham a sua solução igualmente vulnerável.
Isto vem, mais uma vez, demonstrar a importância de código aberto para que se promova uma efetiva segurança "by design", e não por "ofuscação".