A Google está a actualizar a sua tecnologia de rastreio de contactos, que é utilizada pela aplicação portuguesa StayAway Covid, para corrigir uma falha que permitia que algumas apps instaladas em telemóveis Android lessem a informação registada pelos sistemas criados para travar a propagação da covid-19.

O erro foi encontrado no início do ano por investigadores de cibersegurança da AppCensus. Algumas aplicações pré-instaladas nos telemóveis Android, tipicamente utilizadas para recolher relatórios de falhas, tinham privilégios mais elevados do que outras, o que lhes permitia aceder a registos de aplicações de rastreio de contactos. Visto que estas apps não guardam, nem pedem, dados pessoais dos cidadãos, a informação partilhada incluía códigos aleatórios anónimos de outros telemóveis que usam a app.

Contactada pelo PÚBLICO, a Google diz que o problema já foi resolvido e que não pôs em causa a identidade de quaisquer utilizadores. “Fomos notificados de um problema em que os identificadores Bluetooth estavam temporariamente acessíveis a algumas aplicações pré-instaladas”, admite a empresa, por email.

As aplicações de rastreio de contactos criadas com tecnologia da Google dependem de Bluetooth, uma tecnologia de comunicação sem fios de curto alcance (usada em smartphones e auriculares) que permite que aparelhos troquem informação quando estão próximos.

“Estes identificadores Bluetooth não revelam a localização de um utilizador ou fornecem qualquer outra informação de identificação e não temos qualquer indicação de que tenham sido utilizados de forma inadequada - nem que qualquer aplicação tenha sequer tido conhecimento [do erro]”, lê-se na resposta da Google.

D3 pede suspensão da app portuguesa

Para a associação portuguesa D3 (Defesa dos Direitos Digitais), no entanto, a falha mostra que a segurança do sistema é falível e requer “a suspensão imediata” da aplicação StayAway Covid. “Há muito que a D3 vem alertando e criticando a app StayAway Covid em diversos aspectos, um dos quais a sua dependência técnica das gigantes tecnológicas Google e Apple”, lê-se no comunicado da associação.

É uma preocupação que também tinha sido partilhada pela Comissão Nacional de Protecção de Dados (CNPD) em Junho.

Em 2020, a Apple e a Google juntaram-se para criar uma interface de programação de aplicações (API) para garantir o bom funcionamento das várias aplicações que utilizam a tecnologia Bluetooth para aplicações de rastreio de contactos — como é o caso da StayAway Covid — mesmo que sejam desenvolvidas em diferentes países ou que estejam instaladas em telemóveis com diferentes sistemas operativos.

Google acusada de lentidão

Apesar de a Google já ter corrigido o problema com os telemóveis Android, a equipa da AppCensus queixa-se que a tecnológica norte-americana demorou demasiado tempo a dar resposta. No comunicado sobre a falha, a equipa diz que ficou mais de 60 dias sem ouvir da Google. Em declarações ao jornal britânico Telegraph, Serge Egelman, director de tecnologia da AppCensus, acrescenta que inicialmente a Google não achava que o problema era urgente.

“Há ataques que se tornam mais poderosos quando combinados com outras bases de dados”, alerta, porém, a equipa da AppCensus.

No caso da portuguesa StayAway covid, os dados não são armazenados e processados num servidor central, mas sim no dispositivo móvel do utilizador. Quando um utilizador diagnosticado com covid-19 usa o código, dado por um médico, para activar o envio um alerta anónimo, os códigos guardados no seu telemóvel nos últimos 14 dias são colocados neste servidor. Se um código guardado no telemóvel de alguém for igual a um dos códigos no servidor, essa pessoa é alertada.

“Com o sistema de notificação de exposição, nem o Google, nem a Apple, nem outros utilizadores podem ver a identidade [das pessoas]”, reitera a Google, em comunicado.

Como funciona a StayAway Covid? A aplicação depende de Bluetooth, uma tecnologia de comunicação sem fios de curto alcance (usada em smartphones, auriculares, consolas) que permite que aparelhos troquem informação quando estão próximos. A vantagem face a outras tecnologias, como o GPS, é que não são guardados dados sobre as coordenadas geográficas do utilizador. Sempre que activada, a aplicação envia aos telemóveis que estão próximos códigos aleatórios anónimos, guardando, ao mesmo tempo, os códigos que recebe. Qual é o papel da Google e da Apple? A StayAway Covid utiliza a nova interface de programação de aplicações (API) para rastreio de contágio, desenvolvido pela Apple e pela Google e disponibilizada no final de Maio aos países que pediram acesso. Foi criada para garantir o bom funcionamento das várias aplicações que utilizam a tecnologia Bluetooth para aplicações de rastreio de contactos, mesmo que sejam desenvolvidas em diferentes países ou que estejam instaladas em telemóveis com diferentes sistemas operativos. Só uma aplicação por país é que tem acesso às novas ferramentas da Apple e da Google e só se for desenvolvida pelo governo ou pelas autoridades de Saúde públicas. Ler mais no Perguntas e Respostas do PÚBLICO sobre a StayAway Covid

Desde que foi lançada, em Agosto de 2020, a app portuguesa, criada com a tecnologia da Google, tem estado no centro de várias controvérsias. A principal questão, porém, tem sido a dificuldade em utilizar a app. Para activar o sistema de notificações, é preciso inserir um código que as pessoas infectadas não sabem a quem pedir e alguns profissionais de saúde não sabem onde encontrar.

O Governo está actualmente a preparar uma alteração às regras sobre o tratamento de dados da aplicação informática StayAway Covid para que todos os profissionais de saúde, e não só o médico, possam introduzir informação no sistema.