Os investigadores da Check Point advertem para a preocupação em redor da instalação de aplicações de rastreio de contactos, já que seria possível rastrear dispositivos, comprometer a segurança de dados pessoais sensíveis e inclusivamente gerar relatórios de saúde falsos.
De acordo com a empresa, estas app permitem aos cibercriminosos:
- Pode-se rastrear os dispositivos: algumas destas aplicações de rastreio requerem o uso de Bluetooth de baixa energia (BLE) para que funcionem, permitindo aos dispositivos emitir sinais que facilitam a identificação do contacto com outros dispositivos. Se não se implementarem correctamente, um cibercriminoso pode rastrear o dispositivo de uma pessoa correlacionando o dispositivo e os seus respectivos pacotes de sinais de identificação.
- A segurança dos dados pessoais pode ficar comprometida: obviamente, as aplicações armazenam registos de contacto, chaves cifradas e outros dados sensíveis nos dispositivos. Esta informação deve ser cifrada e armazenada na sandbox de segurança da aplicação e não em áreas partilhadas. No entanto, mesmo dentro de uma área segura como a sandbox, se um cibercriminoso obtiver permissão de acesso físico ao dispositivo pode pôr em risco a privacidade dos dados, sobretudo se armazenar informação tão sensível como a localização GPS, que pode disponibilizar dados como viagens efectuadas pelo utilizador ou locais em que tenha estado nos dias ou semanas anteriores.
- Interceptar o tráfego de uma aplicação: os utilizadores podem ser susceptíveis a sofrer ataques “man-in-the-middle”, que permite a um cibercriminoso interceptar todo o tráfego de dados entre o dispositivo e o servidor da aplicação se estas comunicações não estiverem correctamente cifradas.
- Receber grandes quantidades de informação falsa através de relatórios de saúde: os investigadores da Check Point advertem que é importante que as aplicações de contacto realizem uma autenticação quando a informação seja enviada para os seus servidores, como por exemplo quando um utilizador envia o seu diagnóstico e registo de contactos. Sem a devida autorização, poderá ser possível inundar os servidores com relatórios de saúde falsos, o que colocaria em causa a fiabilidade de todo o sistema.
