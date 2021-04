O sistema operativo móvel Android, da Google, tinha uma falha que permitia que as aplicações pré-instaladas pudessem aceder aos dados de app oficiais de rastreio à Covid-19, como a portuguesa StayAway Covid. Ao Observador, a Google reconheceu o problema e diz que está a resolvê-lo. A empresa diz ainda que não há “nenhuma indicação” sobre a falha ter sido utilizada “de forma inadequada”.

Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis para algumas aplicações pré-instaladas para fins de debugging [resolução de falhas técnicas]. Analisámos o problema, considerámos atenuantes, atualizámos o código e estamos a garantir que a correção é distribuída aos utilizadores”, diz a Google.

Na origem desta falha está a forma como o sistema de rastreio Bluetooth, criado pela Apple e pela Google, armazenava os dados. Para funcionar, estas apps usam um sistema “Google/Apple Exposure Notification”, conhecido como GAEN, que disponibiliza o acesso a funcionalidades ao nível do sistema operativo do telemóvel e permite a emissão de identificadores que, teoricamente, permitem manter o anonimato dos dados. Ao contrário do Android, o sistema operativo móvel da Apple, o iOS, não foi afetado.

As Notificações de Exposição usam tecnologia que preserva a privacidade para ajudar as autoridades de saúde pública na gestão da disseminação da COVID-19 e a salvar vidas. Com o sistema de Notificação de Exposição, nem a Google, a Apple, nem outros utilizadores podem ver a sua identidade e todas as correspondências de Notificação de Exposição acontecem no seu dispositivo”, refere um porta-voz da Google.

De acordo com a Google, os “identificadores Bluetooth não revelam a localização de um utilizador ou fornecem qualquer outra informação de identificação”. A empresa diz também que já está a disponibilizar uma atualização. Contudo, não especifica se esta foi lançada em Portugal.

Na quinta-feira, o Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC TEC), responsável pela app em Portugal, disse à Exame Informática que a aplicação portuguesa esteve vulnerável devido a esta falha. O Observador tentou contactar o instituto relativamente a esta questão, estando a aguardar resposta.

Esta falha de segurança foi descoberta por Joel Reardon, cofundador e responsável de cibersegurança na AppCensus, como avançou a The Markup. De acordo com Reardon, a Google foi alertada em fevereiro. “Esta correção é uma coisa de uma linha na qual se remove uma linha que regista informações confidenciais nos ficheiros do sistema”, alega o programador, adiantando que tal “não afeta o programa” nem “muda a forma como funciona”.

Num comunicado enviado às redações esta madrugada, a Associação D3 – Defesa dos Direitos Digitais, divulgou o problema e diz que esta falha mostra que “não existe uma total transparência sobre funcionamento global do sistema”. “Este caso vem demonstrar que a Comissão Nacional de Proteção de Dados tinha toda a razão ao apontar que ‘o recurso à interface da Google e da Apple é um dos aspetos mais críticos da aplicação, na medida em que há uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou pelos responsáveis pelo tratamento‘”, critica a associação.

A aplicação StayAway Covid foi lançada oficialmente a 1 de setembro de 2020 após várias datas de lançamento anunciadas e não cumpridas. Até março, a app registou pouco mais de três milhões de downloads (3.068.978). Destes, 2.203.823 foram feitos através da PlayStore, a loja de aplicações do sistema operativo Android; 576.312 foram através da App Store, do iOS; e 288.843 da montra de apps para os Huawei. Até essa data, tinham sido inseridos na app apenas cerca de três mil códigos que identificavam um utilizador com um caso positivo à Covid-19.