Lançada este ano, a aplicação Anda teve falhas de segurança e divulgou dados pessoais dos utilizadores. Com sorte, um investigador decidiu ajudar os desenvolvedores e dar mais segurança à app.
O Andante, o título de transporte intermodal para viagens na área do Porto, foi lançado em junho. Várias foram as notícias desta “inovação”, mas o que veio a seguir foi tudo menos boas notícias.
Falhas de segurança descobertas pelo engenheiro de software Gustavo Silva, levaram à descoberta de uma comunicação entre a app e o sistema de transportes mal efetuada e que, numa era pós-RGPD para empresas privadas, poderia levar a grandes multas. Não é, na parte da multa, o caso.
Mas os riscos de segurança estavam e estiveram presentes durante vários meses. Apenas 5 dias depois do lançamento oficial, a 4 de julho, Gustavo Silva divulgou junto da empresa as vulnerabilidades. 3 dias depois, a 7 de julho, a empresa reconheceu a vulnerabilidade. Mas foi apenas a 9 de setembro, ou seja, 2 meses e 2 dias depois, que todas as falhas de segurança foram corrigidas. No entanto, as passwords deixaram de ser vistas em texto simples poucos dias depois da divulgação da informação, ainda em junho.
As falhas na aplicação Anda, disponíveis para Android, permitiam saber nome, morada, últimos 4 dígitos do cartão de cidadão, telefone e número de contribuinte. Permitiam ainda ver as passwords sem estarem devidamente encriptadas.
O problema residia na API (Application Programming Interface), ou seja, na comunicação com a interface que faz a gestão das validações, e na forma como trocava dados com a aplicação. Essa troca era muitas vezes insegura, conforme se pode ler nas notas técnicas no blog de Gustavo Silva.
Um ataque “de elevado grau de sofisticação”
Fonte oficial dos Transportes Ferroviários do Porto, questionada pelo Tugaleaks, confirmou que “[o] ataque de que foi alvo, foi um ‘ataque-amistoso’, de elevado grau de sofisticação (muito pouco acessível ao cidadão comum), destinado fundamentalmente a expor uma potencial fragilidade e, como tal, sem consequências funestas. Este ataque acabou por abrir a oportunidade de refinar e reforçar os mecanismos internos de segurança”.
Sobre o atraso da nova versão da app ser disponibilizada nas lojas, a mesma fonte adientou que “[o] reforço dos mecanismos internos de segurança foi executado de imediato, logo após a identificação do problema, tendo sido objeto de posteriores aperfeiçoamentos, até 22/10/2018. Grande parte do tempo que mediou entre a identificação e esta configuração atual teve a ver com os cuidados necessários para implementar e difundir modificações complexas em sistemas em funcionamento ao público”.
Ainda a mesma fonte garante que “o cuidado e empenho está sempre presente nestas matérias … e a capacidade de melhorar também!”
O que devo fazer?
Se és um utilizador da app Anda, deves em primeiro lugar alterar a tua password, caso a uses noutros sistemas, considerando que outa pessoa pode ter efetuado o mesmo teste e obtido tais credenciais. Deves ainda consultar sites como o Have I Been Pwned e confirmares se o teu e-mail foi afetado noutros problemas de segurança.
Quanto à app, a mesma está (mais) segura, sendo que, como bem elucida fonte dos Transportes Ferroviários do Porto, “[i[nfelizmente, não é possível garantir que algo está resolvido ‘em definitivo’”, frisando sempre o clima de melhoramento contínuo.
Quanto ao autor da investigação de segurança levada a cabo, Gustavo Silva diz que “eu próprio sou utilizador da aplicação e acredito que a ideia por detrás da mesma é muito boa e muito útil. Assim que grande parte destas falhas iniciais sejam ultrapassadas, o Anda poderá ser um bom passo para o futuro a nível de mobilidade”.
Problemas tecnológicos ameaçam a tua privacidade?
Faz essa e outras denúncias anónimas ao Tugaleaks!
Foto: Tutorial Anda