Narseo Vallina-Rodriguez

**Nome do software vulnerável e versões afetadas** Versões do Radar COVID anteriores à 1.0.8 (distribuição uniforme) e à 1.1.0 (distribuição exponencial) no iOS Versões do Radar COVID anteriores à 1.0.7 (distribuição uniforme) e à 1.1.0 (distribuição exponencial) no Android Versões do Radar COVID Backend anteriores à 1.1.2-RELEASE **Descrição** A vulnerabilidade permite a identificação e a desanonimização de usuários com resultado positivo para COVID-19 ao usar o Radar COVID. Isso ocorre porque as conexões com o servidor são feitas apenas por pessoas com COVID-19 positivo, permitindo que qualquer observador na rota identifique quais usuários tiveram um teste positivo. O invasor também pode desanonimizar o usuário correlacionando o tráfego do Radar COVID com outras informações identificáveis da vítima, como informações de contrato ou fluxos gerados pelo usuário contendo identificadores em texto simples. A vulnerabilidade foi mitigada com a injeção de tráfego fictício do aplicativo para o backend. **Recomendações** Atualize o Radar COVID para iOS para a versão 1.0.8 (distribuição uniforme) ou 1.1.0 (distribuição exponencial) para corrigir o problema. Atualize o Radar COVID para Android para a versão 1.0.7 (distribuição uniforme) ou 1.1.0 (distribuição exponencial) para corrigir o problema. Atualize o Radar COVID Backend para a versão 1.1.2-RELEASE para corrigir o problema.