A empresa do Porto que descobriu uma falha de segurança na Samsung e acabou a receber um prémio

Em causa um bug na loja de aplicações online da gigante sul-coreana.
Luís Maia (à esquerda) e Carlos Carvalho (à direita), respetivamente CTO e CEO da Adyta

Texto de Ana Tulha

Uma pequena empresa do Porto a descobrir uma falha de segurança numa gigante tecnológica como a sul-coreana Samsung é uma história quase digna de começar por “era uma vez”. E, no entanto, a narrativa nada tem de ficcional. A protagonista, essa, dá pelo nome de Adyta, nada menos do que uma empresa criada em 2015, no Porto, e desde 2017 uma spin-off da Universidade do Porto.

Especializada em cibersegurança e comunicações seguras, a Adyta até já tinha colaborado com a marca, na análise funcional e criptográfica dos dispositivos associados à Knox, uma plataforma da Samsung destinada a garantir a segurança de dados corporativos e pessoais. É aí que a história começa verdadeiramente.

“Na sequência dessa colaboração, os equipamentos ficaram connosco e nós continuámos a fazer a nossa investigação em cima daqueles equipamentos, até à parte da App Store. Foi aí que descobrimos uma falha, que afeta utilizadores em qualquer parte do mundo”, explica à “Notícias Magazine” Carlos Carvalho, CEO (Chief Executive Officer) da Adyta.

E que falha é essa? Trata-se de um bug de segurança que permitia a terceiros modificar as aplicações descarregadas através da Galaxy App Store, injetando-lhe código malicioso que, entre outras coisas, poderia dar acesso aos dados do telefone.

“No fundo, essa falha podia permitir que alguém tivesse acesso a tudo o que está no equipamento de forma remota”, resume Carlos Carvalho.

A falha, descoberta pela equipa técnica da Adyta, neste projeto composta por Luís Maia, o Chief Tecnhology Officer (CTO) da Adyta, André Batista, no ano passado distinguido como o hacker mais valioso do mundo, e Rolando Martins, foi depois remetida à Samsung, em maio de 2018, através do Samsung Mobile Security Rewards Program, um programa internacional que premeia quem reporte falhas de segurança nos equipamentos da marca.

Quatro meses depois, o erro era corrigido. E, tal como prevê o programa, a Adyta (que também colabora com o Gabinete Nacional de Segurança, a Comissão Nacional de Proteção de Dados e até a Procuradoria-Geral da República) ainda recebeu uma recompensa financeira, por ter ajudado a Samsung a corrigir uma vulnerabilidade.

Entretanto, o trabalho da Adyta na luta contra as falhas de segurança continua. “Entre outras coisas, estamos a analisar algumas lojas online e temos detetado falhas problemáticas. Também fazemos análise a alguns órgãos de Governo, de gestão autárquica. À medida que vamos detetando falhas, propomos soluções que mitiguem esses problemas”, resume Carlos Carvalho.