Os aplicativos de rastreamento da Covid-19 – comumente chamados de “rastreadores Covid” – foram criados com a intenção de geolocalizar indivíduos que potencialmente carregam o vírus, buscando servir como ferramentas de diagnóstico precoce e também como fonte de estatísticas para os vários governos que os desenvolveram. Nesse contexto, a ESET, analisou os aplicativos Android mais relevantes relacionados à Covid-19, desenvolvidos pelas autoridades latino-americanas.
A ESET investigou 17 aplicações pertencentes a autoridades governamentais em países como Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, Guatemala, México, Peru e Uruguai. Do número total de aplicativos analisados - todos disponíveis na Play Store – 14 utilizaram o Firebase Realtime Database para armazenar dados.
A segurança dos bancos de dados do Firebase projetados para armazenar informações do usuário, que foram usadas por vários aplicativos de rastreamento de contatos em diferentes países, foi analisada, em alguns casos apresentando erros de configuração que afetavam a segurança e a privacidade dos dados.
No Laboratório de Pesquisa da ESET, foi detectado que dois desses aplicativos de rastreamento, ambasda Argentina e incentivadas por governos estaduais e municipais, estavam vulneráveis a possíveis ataques, uma vez que se conectavam a bancos de dados públicos para processar dados privados, como nomes, sobrenomes, datas de nascimento, DNI (equivalente ao RG, no Brasil), e-mails, milhares de pontos de geolocalização (alguns diretamente associados a um usuário pontual), números de telefone e dados médicos de acompanhamento de pacientes (se realizaram um exame e se foram positivos) de mais de 6000 usuários. É importante ressaltar que as vulnerabilidades mencionadas anteriormente já foram corrigidas antes da publicação desta investigação.
O Firebase do Google é uma solução rápida para armazenar dados e enviar mensagens em aplicativos cliente-servidor. Os dados são salvos no formato JSON e podem ser consultados ou modificados por meio de uma API do tipo REST. Embora existam regras que podem ser conectadas em cascata para controlar o acesso a informações confidenciais, muitas vezes essas regras são mal definidas e permitem que um invasor recupere dados armazenados em diferentes níveis do caminho.
Encontrar bancos de dados vulneráveis em apps mobile não é novidade. Um relatório publicado em maio de 2020 pela Comparitech constatou que 4,8% dos aplicativos que usam o Google Firebase não estão configurados corretamente, levando a possíveis vazamentos de informações. Os pesquisadores estimaram que 0,83% de todos os aplicativos publicados no Google Play expõem dados confidenciais por meio do Firebase, o que representaria aproximadamente um total de 24.000 aplicativos vulneráveis.
“A boa notícia é que esse tipo de erro é completamente evitável. Só precisamos garantir que entendemos como a autenticação e a autorização funcionam no pacote Firebase, que informações queremos proteger e testar nossos bancos de dados em produção para garantir que eles não sejam suscetíveis a esse tipo de ataque. Na documentação da plataforma, podemos encontrar muitas informações sobre a maneira correta de configurar esses produtos, como artigos sobre configurações inseguras ou dicas de segurança”, diz Denise Giusto Bilic, analista de segurança da informação da ESET América Latina.