A vulnerabilidade detetada consiste num erro de utilização de um canal Secure Socket Layer (SSL) que é um padrão global em tecnologia de segurança. O SSL cria um canal criptografado entre um servidor web e um browser, garantindo que todos os dados transmitidos sejam sigilosos e seguros. No caso da Galaxy App Store, a Adyta descobriu falhas na validação da integridade das apps da Samsung, o que faz com que “um telemóvel que aceda a uma rede não confiável pode ser enganado e passar a usar de forma permanente um market que não pertence à Samsung e onde figuram versões maliciosas modificadas de aplicações comuns como o Facebook, por exemplo”, explica Luís Maia, CTO daquela empresa spin-off da Universidade do Porto. No fundo, os hackers poderiam ter acesso ao sistema e interferir com os dispositivos.
Ao detetar a falha, a equipa da Adyta decidiu comunicá-la à Samsung através do programa Samsung Mobile Security Rewards Program, especialmente criado para o efeito pela gigante sul coreana. “É um programa que recompensa quem deteta e comunica problemas de segurança”, explica Carlos Carvalho, CEO da Adyta, para quem esta é uma boa prática “que incentiva a que se comuniquem os problemas encontrados de forma a que sejam resolvidos, protegendo assim todos os utilizadores”. Para a Adyta, a decisão de comunicar a vulnerabilidade foi imediata: “O nosso interesse é que as plataformas tecnológicas sejam seguras”, acrescenta.
Depois de ter reconhecido e corrigido o problema, a Samsung classificou a participação da Adyta no programa com High (a segunda mais alta nesta categoria do programa), e recompensou monetariamente a empresa. Apesar de a verba, como refere Carlos Carvalho, “ser, em si, pequena, tendo em conta que foi reportado um problema com abrangência global”, vai ajudar a que a spin-off U.Porto continue a dedicar-se ao desenvolvimento de tecnologia e à investigação nesta área que é o seu core. Para o CTO, Luís Maia, esta conquista permite “afirmar o trabalho desenvolvido pela Adyta na área das auditorias de segurança a nível internacional, mostrando que Portugal tem crescido nestas áreas”.
A colaboração com a Samsung não é, no entanto, novidade para a Adyta. A empresa já havia participado na análise à plataforma Knox da marca, tendo vindo a trabalhar em conjunto, desde então, na análise funcional e criptográfica dos seus dispositivos. “Para nós, que somos uma spin-off da U.Porto, é muito positivo poder colaborar com uma das maiores empresas do mundo quer ao nível local, com o trabalho de avaliação contínua da Knox, quer na participação neste programa”, refere o CEO. No futuro, a empresa pretende continuar a desenvolver os seus produtos de forma sustentada, contribuindo para a melhoria da cibersegurança para todos: “É isso que acontece sempre que detetamos um problema e contribuímos para a sua solução”, conclui Carlos Carvalho.
Sobre a empresa
A Adyta é uma empresa com capitais exclusivamente portugueses e foi reconhecida como U.Porto Spin-off em 2017. O seu trabalho centra-se em soluções na área da defesa e proteção de comunicações, especializadas e ajustadas às necessidades de órgãos de soberania, grupos empresariais e outras organizações que, pela natureza das suas atividades, tratem informação e dados de caráter sensível ou classificado.
Os fundadores da Adyta contam com mais de 50 anos de experiência agregada em segurança informática, cibersegurança, gestão de sistemas de informação e proteção de dados, colaborando frequentemente com o Gabinete Nacional de Segurança, a Comissão Nacional de Proteção de Dados e a Procuradoria-Geral da República.