COVID-19 Tracking App 'COVID Kaya' Vazamentos de dados
Um aplicativo móvel projetado para servir como uma plataforma de rastreamento de casos Covid-19, denominado 'COVID Kaya', foi considerado inseguro. A plataforma foi usada por médicos e profissionais de saúde para monitorar casos ativos de Covid-19 nas Filipinas.
Os pesquisadores descobriram vulnerabilidades e falhas de segurança tanto no aplicativo móvel quanto na interface da web. As falhas permitiram que atores mal-intencionados em potencial obtivessem acesso às informações pessoais dos profissionais de saúde. Além disso, os dados do paciente também podem ter sido expostos. A descoberta foi feita por pesquisadores do Citizen Lab - uma divisão da Universidade de Toronto com foco em segurança.
A plataforma COVID Kaya foi lançada no verão de 2020 e foi projetada para permitir que os profissionais de saúde nas Filipinas tivessem acesso imediato a dados coletivos sobre casos ativos de Covid-19 e coordenassem essas informações com o ministério da saúde do país. COVID Kaya tinha versões para iOS e Android, além de uma interface para acesso à web.
Os aplicativos móveis foram baseados em código portado usando Cordova - um ambiente de desenvolvimento que permite a exportação de aplicativos focados na web para dispositivos móveis.
Os pesquisadores do Citizen Lab encontraram vulnerabilidades em ambas as versões móveis do aplicativo que permitiriam potenciais malfeitores acessarem dados que normalmente exigiriam credenciais de login de superusuário. Duas vulnerabilidades de segurança foram relatadas pelos pesquisadores nas plataformas Android e baseadas na web e, desde então, foram corrigidas pela equipe de desenvolvimento do COVID Kaya.
A falha de segurança da web permitiu o acesso não autorizado a endpoints da API e, portanto, - acesso irrestrito aos nomes de milhares de profissionais de saúde que estavam usando a plataforma Kaya. A versão do Android tinha um problema com o uso de credenciais de API codificadas, o que efetivamente permitia que possíveis agentes mal-intencionados acessassem as informações pessoais dos pacientes.
Felizmente, as falhas relatadas pelo Citizen Labs foram corrigidas e as credenciais potencialmente exploráveis foram desativadas.
Este é apenas mais um exemplo de problema de segurança de dados relacionado à pandemia Covid-19, após inúmeras campanhas de phishing, fraudes, cepas de malware e golpes móveis que de alguma forma exploravam a situação global.
