A empresa portuguesa Char49, especialista na prestação de serviços de segurança informática, realizou um estudo sobre o nível de segurança de aplicações ligadas ao Estado, para uma relação mais simples e rápida para os utilizadores. Em Portugal, o governo encoraja os contribuintes a pedir faturas dos produtos e serviços realizados, de forma a obter deduções fiscais no seu cálculo de IRS.

É nesse sentido que surgiram novas aplicações disponíveis na loja digital Google Play Store, com ligações via API ao portal das Finanças e-fatura, visando facilitar as pessoas na gestão das suas faturas. A empresa decidiu analisar duas das aplicações mais populares, que combinadas têm entre 100 a 500 mil downloads, segundo a Play Store, mas sem referir o nome das mesmas.

O estudo centrou-se na forma como as informações pessoais são utilizadas, nomeadamente os números de identificação fiscal, as senhas secretas, as faturas, entre outras, focando-se em três aspectos principais: o armazenamento de dados, a comunicação de rede e as mensagens de debug/log.

Entre algumas conclusões anotadas é referido que as senhas e o número fiscal são gravadas em texto na base de dados com a possibilidade de as gravar no dispositivo, sendo depois encriptadas com sistemas eventualmente conhecidos. A empresa recomenda fortemente a não guardar as senhas no smartphone, pois se este for roubado poderão cair em mãos erradas. O estudo determina ainda que ambas as aplicações guardam as faturas sem qualquer proteção, e fornecem informações pessoais detalhadas.

e-fatura
e-fatura

Apesar da falta de segurança, a Char49 não encontrou comportamentos maliciosos por parte das empresas responsáveis pelas aplicações, tais como a tentativa de roubar as credenciais ou informação pessoal. Os problemas surgem pela falta de consciência na segurança das mesmas.

Desta forma, a informática recomenda que os utilizadores que pretendam utilizar este tipo de aplicações tenham muito cuidado nas escolhas e sobretudo, no tipo de permissões de acesso. Mas alerta também para não utilizar a funcionalidade de gravar a senha na aplicação, evitar redes Wifi públicas durante a utilização de dados sensíveis e utilizar uma password forte para desbloquear o telemóvel, e ainda, nunca abandonar o aparelho.