Dans une note publiée sur son site officiel, l'IPVC explique que le 'bug' a été détecté lors d'une enquête menée par Henrique Faria, dans le cadre de son mémoire de maîtrise sur la cybersécurité.

"En pratique, la vulnérabilité détectée, désormais identifiée comme 'débordement publicitaire', permet à un attaquant d'interrompre la transmission Bluetooth GAEN (Google / Apple Exposure Notification) avec une application malveillante installée sur le même appareil"
. Cette attaque, expliquent les responsables de l'enquête, "compromet le comportement de suivi attendu dans cette 'app', ne permettant pas la transmission de données".

"Dans un scénario réel, cette attaque peut, en fonction de son ampleur entre les appareils, effectivement arrêter ou réduire considérablement le suivi et l'efficacité du GAEN, car aucune de ces données ne sera transmise", précise l'IPVC.

En d'autres termes, ajoute la note, "tout utilisateur dont l'infection est confirmée et qui envoie ses données afin que les autres utilisateurs puissent vérifier s'ils ont été exposés, ne déclenchera aucun avertissement d'exposition". L'implémentation de cette attaque dans un SDK qui est utilisé par de nombreuses applications et peut compromettre l'efficacité du système de suivi des contacts dans plusieurs pays", indiquent-ils.

La défaillance "a été signalée et ensuite reconnue par Google, et a mérité le placement de l'étudiant et des deux conseillers de la faculté - Pedro Pinto et Sara Paiva, dans le cadre des mentions honorables" de la multinationale américaine de services en ligne et de logiciels d'Amérique.

Des applications telles que "Stayaway Covid" "utilisent GAEN pour échanger des identifiants anonymes via Bluetooth, qui seront ensuite utilisés pour vérifier la possibilité d'une infection. Si cela se produit, l'utilisateur reçoit une notification sur son appareil pour l'informer qu'il a été exposé à une personne infectée".

Lancée en septembre 2020, l'application mobile permet de suivre rapidement et anonymement, par la proximité physique entre "smartphones", les réseaux de contagion par covid-19, en informant les utilisateurs qu'ils ont été, au cours des 14 derniers jours, dans le même espace qu'une personne infectée par le nouveau coronavirus.