In una nota pubblicata sul suo sito ufficiale, l'IPVC spiega che il 'bug' è stato rilevato durante un'indagine condotta da Henrique Faria, nell'ambito della sua tesi di master in Cybersecurity.

"In pratica, la vulnerabilità rilevata, ora identificata come 'advertising overflow', permette ad un attaccante di interrompere la trasmissione Bluetooth GAEN (Google / Apple Exposure Notification) con un'applicazione malevola installata sullo stesso dispositivo"
Questo attacco, spiegano i responsabili dell'indagine, "compromette il comportamento di tracciamento previsto in questa 'app', non permettendo la trasmissione di dati".

"In uno scenario reale, questo attacco può, a seconda di quanto è diffuso tra i dispositivi, fermare efficacemente o ridurre drasticamente il tracciamento e l'efficienza del GAEN, perché nessuno di questi dati sarà trasmesso", dice l'IPVC.

In altre parole, la nota aggiunge, "qualsiasi utente confermato di essere infetto e che invia i propri dati in modo che altri utenti possano verificare se sono stati esposti, non attiverà alcun avviso di esposizione. L'implementazione di questo attacco in un SDK che viene utilizzato da molte applicazioni e può compromettere l'efficacia del sistema di tracciamento dei contatti in diversi paesi", affermano.

Il fallimento "è stato segnalato e successivamente riconosciuto da Google, e ha meritato il posizionamento dello studente e dei due consulenti di facoltà - Pedro Pinto e Sara Paiva, nel quadro delle menzioni d'onore" della multinazionale statunitense di servizi online e software d'America.

Applicazioni come 'Stayaway Covid' "utilizzano GAEN per scambiare identificatori anonimi via Bluetooth, che saranno poi utilizzati per verificare la possibilità di infezione. Se questo accade, l'utente riceve una notifica sul suo dispositivo per informare che è stato esposto a qualcuno infetto".

lanciata nel settembre 2020, l'applicazione mobile permette di tracciare rapidamente e anonimamente, attraverso la vicinanza fisica tra 'smartphone', le reti di contagio da covid-19, informando gli utenti che sono stati, negli ultimi 14 giorni, nello stesso spazio di qualcuno infettato dal nuovo coronavirus.