As aplicações de rastreamento de contactos têm sido assumidas por vários países como uma ferramenta para combater a propagação da doença do novo coronavírus, a COVID-19, que tem causado uma das piores crises de saúde pública das últimas décadas. Na Europa procura-se sintonia entre as estratégias adotadas e em Portugal é a app STAYAWAY COVID-19 que está a ser preparada, usando as API da Apple e da Google e as recomendações do grupo de trabalho europeu test. Os testes já começaram embora ainda não haja uma data fechada para o lançamento da aplicação, como confirmou ontem o SAPO TEK.
Mas há muito quem avise para os problemas de segurança, ameaças à privacidade e risco de vigilância massiva que estas aplicações podem implicar, e a Amnistia Internacional é mais uma das organizações que se junta a estes alertas.
O laboratório de segurança da Amnistia Internacional analisou aplicações da Europa, Médio Oriente e norte de África, com testes técnicos detalhados a 11 aplicações, e o resultado mostra os riscos que a adoção destas soluções implicam quando as opções dos governos não são seguras. A organização de defesa dos direitos humanos aponta três casos mais graves, na Noruega, no Bahrein e no Kuwait onde as aplicações de rastreio de contactos adotadas são "das mais invasivas do mundo, colocando em risco a privacidade e a segurança de centenas de milhares de pessoas".
A Noruega decidiu hoje suspender a utilização da aplicação Smittestopp, horas antes da Amnistia Internacional divulgar o seu relatório, que a organização partilhou antecipadamente com as autoridades do país.
Claudio Guarnieri, responsável pelo Security Lab da Amnistia Internacional explica, em comunicado que "o Bahrein, o Kuwait e a Noruega passaram por cima da privacidade das pessoas, com ferramentas de vigilância altamente invasivas que vão muito além do que se justifica nos esforços para combater a COVID-19".
Plataformas de vigilância massiva em forma de apps
No caso das três aplicações referidas o rastreio dos utilizadores é feito de forma ativa, em tempo real ou quase real, através do upload frequente das coordenadas de GPS num servidor central. Mas estas não são as únicas apps perigosas identificadas pela Amnistia Internacional. A aplicação EHTERAZ do Qatar pode ativar opcionalmente a localização em tempo real de todos os utilizadores ou de um indivíduo específico, enquanto a E7mi da Tunisia tem um modelo centralizado e em vez de GPS recorre ao registo de contactos por Bluetooth, em conjunto com coordenadas geográficas.
A Amnistia Internacional indica ainda que a aplicação do Qatar tinha uma falha de segurança que expõe dados pessoais sensíveis de mais de um milhão de pessoas e que isso é especialmente preocupante porque as autoridades decidiram a utilização obrigatória da aplicação a partir de 22 de maio. A falha já foi corrigida depois da organização ter alertado as autoridades.
Apliação adotada em França criticada pelo modelo centralizado
As aplicações de rastreamento de contactos que estão a ser usadas em França, Islândia e Emirados Árabes Unidos recorrem a um modelo centralizado, em que a informação de contactos entre dispositivos é carregada apenas quando os utilizadores decidem voluntariamente reportar que têm sintomas de COVID-19 ou a pedido das autoridades de saúde. A Amnistia Internacional reconhece que este modelo voluntário reduz o risco de vif«gilância massiva, já que a informação não é voluntariamnete carregada, mas no caso de França a falta de transparência sobre a forma como os dados são guardados levanta questões sobre se os dados podem ser "desanonimizados", identificando os utilizadores.
"Os governos em todo o mundo têm de fazer uma pausa em promover aplicações com falhas ou excessivamente intrusivas que falham em proteger os direitos humanos. Se as apps de rastreamento de contactos podem ter um papel efetivo no combate à COVID-19 as pessoas têm de ter confiança de que a sua privacidade vai ser protegida" afirma Claudio Guarnieri.
Falhas a três níveis nas apps analisadas pela Amnistia Internacional
No relatório a Amnistia Internacional indica que as aplicações analisadas falham em três categorias. A primeira é o facti de não estarem de facto a fazer rastreamento de contactos mas a permitir que voluntariamente os utilizadores registem e verifiquem os seus sintomas, o que acontece com as apps do Líbano e do Vietname.
Outra das falhas foi identificada nas apps da Austria, Alemanha, Irlanda e Suiça, é a utilização de um modelo descentralizado de registo de contactos de Bluetooth do que o desenvolvido pela Google e a Apple, no qual os dados sºai guardados nos telefones e não numa base de dados centralizada. A organização não fez análise técnica a estas apps e admite que são menos preocupantes de uma perspetiva de privacidade.
A ameaça mais série aos direitos humanos reside nas apps centralizadas, em que os dados captados pelo Bluetooth ou GPS dos smartphones, ou ambos, é carregada numa base de dados governamental centralizada, sendo em alguns casos de uso obrigatório.
Apesar da análise realizada e dos alertas, a Amnistia Internacional admite que estas podem não ser as únicas apps perigosas. "A Amnistia Internacional focou-se particularmente nas apps na Europa, Médio Oriente e norte de África. Investigação de ONGs e organizações de media mostram que há outras apps e plataformas digitais em outras regiões que representam ameaças significativas aos direitos humanos, incluindo a China, Etiópia e Guatemala", refere.
E Portugal? A app STAYAWAY COVID-19 é segura?
A aplicação portuguesa que deverá ser adotada pelo Governo, e que está a ser desenvolvida pelo INESC TEC , não foi analisada pela Amnistia Internacional, mas pela informação a que o SAPO TEK já teve acesso não cai nas principais armadilhas e riscos apontados pela organização de defesa dos direitos humanos.
Os responsáveis pelo desenvolvimento já explicaram que o modelo adotado é descentralizado, com toda a informação anonimizada, e que para evitar os falsos positivos os alertas de casos de COVID-19 devem ser carregados para o sistema com a validação de uma entidade de saúde.
Os riscos existem porém e têm sido apontados por várias organizações e especialistas, entre os quais a associação de defesa da privacidade D3.
Mesmo assim os resultados de um inquérito partilhado pela DECO mostram que os portugueses reconhecem vantagens das apps mas que expressam alguns receios, enquanto uma outra sondagem do Jornal de Notícias indica que existe disponibilidade para usar as apps.
Pergunta do Dia
Em destaque
-
Multimédia
The Game Awards: Astro Bot conquistou quatro prémios incluindo Jogo do Ano -
Site do dia
Estamos sozinhos no Universo? Pergunta foi a base do projeto SETI há 40 anos -
App do dia
Task Kitchen: a app que transforma listas de tarefas em agendas eficientes -
How to TEK
Mantenha as apps e jogos Android atualizados para evitar vulnerabilidades
Comentários