A insegura aplicação portuguesa Stayaway Covid

A Associação D3 – Defesa dos Direitos Digitais fala numa “solução tecnológica com eficácia não comprovada e com muitas dúvidas por responder”.

Foto via INESC-TEC/divulgação
 
Este artigo é gratuito como todos os artigos no Shifter.
Se consideras apoiar o nosso trabalho, contribui aqui.

O secretário de Estado para a Transição Digital defendeu no início de Junho a “soberania digital” perante a tecnologia conjunta da Apple e da Google na aplicação de rastreamento de contactos (ARC) para combate à pandemia. Mas a solução apoiada pelo governo, Stayway Covid, recorre a esta tecnologia, alerta a D3. Ao fazê-lo, “interage com o sistema operativo de uma forma que só a Apple e a Google controlam”.

O Conselho de Ministros aprovou na passada quinta-feira, 16 de Julho, o decreto-lei que estabelece a Direcção-Geral da Saúde como responsável pelo tratamento dos dados e autoridade gestora do sistema, bem como regula a intervenção do profissional de saúde no sistema Stayaway Covid.

A aplicação usa a tecnologia Bluetooth Low Energy (BLE) e “notifica os utilizadores da exposição individual a factores de contágio por SARS-CoV-2”, após o contacto “com um utilizador da aplicação a quem posteriormente tenha sido diagnosticada a doença”. Trata-se assim de “um instrumento complementar e voluntário de resposta à situação epidemiológica pelo reforço da identificação de contactos”, tendo a Comissão Nacional de Proteção de Dados recomendado “que fosse dado enquadramento legal a alguns dos aspectos respeitantes ao seu funcionamento”.

O diploma obriga a app a “respeitar a legislação e a regulamentação sobre proteção de dados e sobre cibersegurança”. No entanto, o próprio site da app explica que o utilizador pode ser identificado pelo seu uso, que “é extremamente improvável, mas possível”.

O sistema, que deveria estar disponível no final de Maio e está aparentemente pronto desde o início de Junho, foi desenvolvido pelo INESC TEC com o Instituto de Saúde Pública da Universidade do Porto e as empresas Keyruptive e Ubirider, no âmbito da Iniciativa Nacional em Competências Digitais e.2030.

O site da app explica que, “no caso de ser diagnosticado com COVID-19, a aplicação ajuda os outros, alertando-os que eu, sem o saber, era portador da doença quando estive próximo deles. E isto é feito sem nunca ser revelada a identidade de ninguém”. Esta afirmação é relativa porque existem várias formas de fazer “hacking” ao BLE.

Segundo o “The Practical Guide to Hacking Bluetooth Low Energy“, as três principais vulnerabilidades a que os utilizadores podem ficar expostos no uso desta tecnologia são as escutas ilegais (“eavesdropping”), os ataques “Man in the Middle”, bem como os de negação de serviço (DDoS) e os ataques “fuzzing”.

Críticas mais vastas

A Associação D3 – Defesa dos Direitos Digitais emitiu um comunicado mais alargado sobre os efeitos da Stayaway Covid, em que destaca “a sua profunda preocupação e apreensão pela falta de transparência no seu desenvolvimento, e pelas consequências implicadas pelo uso generalizado de uma solução tecnológica, com eficácia não comprovada e com muitas dúvidas por responder”.

No âmbito dos “falsos positivos e negativos”, ocorrem “muitas situações em que serão registados contactos que não existiram: por entre divisórias finas, barreiras de proteção de acrílico ou vidro, ou mesmo engarrafamentos, registar-se-ão imensos contactos entre pessoas que na verdade não aconteceram. Pior, a tecnologia Bluetooth não foi feita para medir distâncias. Também foi publicado recentemente que as ARCs não funcionam dentro de autocarros, com uma taxa de deteção inferior a 5% devido à estrutura de metal do veículo, que interfere com o Bluetooth”.

Assim, “a cada falso positivo corresponde não só tempo perdido por parte da comunidade científica a tentar compreender que partes das redes de contaminação são fidedignas e quais não são, como também será uma causa desnecessária de ansiedade e desespero por parte de cada pessoa que receber a mensagem a dar a má notícia – e a própria app aconselha imediatamente o isolamento a quem receber a notificação, o que só vai agravar essas consequências”.

Este não é um problema hipotético pois sabe-se que “houve mais de 12 mil casos de falsos positivos na app oficial que levaram à quarentena desnecessária” em Israel.

Em resultado disso, “um cenário particularmente plausível é o de que rapidamente as pessoas se apercebam que as notificações não são para levar a sério, o que arrasaria com qualquer potencial de eficácia da Stayaway”. A D3 aponta ainda que “apesar de já terem passado várias semanas desde que as primeiras ARCs começaram a ser usadas pela Europa, continua um silêncio revelador sobre os seus efeitos positivos”.

Em sentido contrário, “Joana Gonçalves de Sá articulou no Público a enorme dificuldade em implementar com sucesso uma solução técnica deste género”, enquanto estudos questionam “se estas apps são sequer eficazes, condenando a falta de transparência na sua implementação” e “um conjunto grave de ineficácias e riscos para a privacidade.

Código fechado e apoiado

A associação critica ainda o apoio do Primeiro-Ministro e de vários ministros à app, nomeadamente pela “sua intenção de instalar esta ARC sem sequer a terem visto ou usado”, sendo “uma solução técnica cujos métodos de funcionamento ainda ninguém conhece, porque o seu código-fonte ainda está mantido em segredo”. Este só devem ser mostrado quando a app for disponibilizada ao público, asseguram os seus responsáveis.

Trata-se de algo “fundamental para qualquer noção de controlo democrático de uma aplicação que vamos todos ser incentivados a instalar”.

A falta de coincidência temporal no lançamento e disponibilidade do código não permite neste versão inicial qualquer proposta de melhoramento técnico. Na Alemanha, por exemplo, “o código foi publicado duas semanas antes do lançamento (…) e vários problemas foram resolvidos graças a este processo aberto”.

Por fim, “a Stayaway recorre à API da Apple e da Google para poder funcionar, o que significa que interage com o sistema operativo de uma forma que só a Apple e a Google controlam; ou seja, mesmo que o código da Stayaway seja integralmente publicado, falta publicar a parte do código do sistema operativo que manipula a informação obtida pela app”, salienta a D3.

Assim, estas empresas estrangeiras acedem aos dados de instalação e utilização da app, podendo cruzar essa informação com a obtida no acesso às suas “stores” (lojas) ou no uso de outras aplicações.

Além do enorme perigo na criação de perfis individuais para conhecer a vida social do utilizador, será possível “complementar os perfis usados para o targeting de anúncios: uma empresa de produtos médicos poderá assim apontar os seus anúncios a pessoas que instalaram a Stayaway, por serem um público mais suscetível de aceitar soluções mágicas para lidar com o desespero que a pandemia provoca. As proteções de privacidade prometidas pela Stayaway não o conseguem impedir”.

Se não fosse já suficiente toda esta dependência da solução, decorre ainda uma outra consequência em que Apple e Google “podem alterar unilateralmente o funcionamento do seu código, e não há forma das pessoas (ou do Governo) saberem o que mudou”, tendo de aceitar a situação quando “aceitam recorrer a estas componentes fechadas que não podem ser auditadas”.

Para contribuir na resolução destas questões, a D3 requer “a publicação imediata do código-fonte” da app, “a publicação dos mecanismos de funcionamento Apple+Google para esclarecer a privacidade dos dados de utilização”, bem como “a divulgação do montante de financiamento público do desenvolvimento” da solução.

Texto de Pedro Fonseca, publicado pela primeira vez no site TICTANK e reproduzido aqui com a devida autorização.

Investimos diariamente em artigos como este.
Precisamos do teu investimento para poder continuar.