En una nota publicada en su página web oficial, el IPVC explica que el 'bug' fue detectado durante una investigación realizada por Henrique Faria, en el ámbito de su tesis de maestría en Ciberseguridad.

"En la práctica, la vulnerabilidad detectada, ahora identificada como 'desbordamiento publicitario', permite a un atacante interrumpir la transmisión del Bluetooth GAEN (Google / Apple Exposure Notification) con una aplicación maliciosa instalada en el mismo dispositivo".
Este ataque, explican los responsables de la investigación, "compromete el comportamiento de seguimiento esperado en esta 'app', no permitiendo la transmisión de datos".

"En un escenario real, este ataque puede, dependiendo de lo extendido que esté entre los dispositivos, detener de forma efectiva o reducir drásticamente el seguimiento y la eficiencia de GAEN, ya que ninguno de estos datos será transmitido", señala el IPVC.

En otras palabras, añade la nota, "cualquier usuario que se confirme como infectado y que envíe sus datos para que otros usuarios puedan comprobar si han sido expuestos, no activará ninguna alerta de exposición". La implementación de este ataque en un SDK que es utilizado por muchas aplicaciones y puede comprometer la eficacia del sistema de seguimiento de contactos en varios países", afirman.

El fallo "fue denunciado y posteriormente reconocido por Google, y mereció la colocación del estudiante y de los dos profesores asesores -Pedro Pinto y Sara Paiva- en el marco de las menciones de honor" de la multinacional estadounidense de servicios online y de software de América.

Aplicaciones como 'Stayaway Covid' "utilizan GAEN para intercambiar identificadores anónimos a través de Bluetooth, que posteriormente se utilizarán para comprobar la posibilidad de infección. Si esto ocurre, el usuario recibe una notificación en su dispositivo para informar de que ha estado expuesto a alguien infectado".

Lanzada en septiembre de 2020, la aplicación móvil permite rastrear de forma rápida y anónima, a través de la proximidad física entre 'smartphones', las redes de contagio por covid-19, informando a los usuarios de que han estado, en los últimos 14 días, en el mismo espacio que alguien infectado por el nuevo coronavirus.