Esta semana foi descoberta uma falha de segurança na infraestrutura das apps de rastreamento de contacto para Android, permitindo que centenas de apps pré-instaladas nos telemóveis tivessem acesso indevido a registos do sistema. Entre eles, dados sobre se a pessoa esteve em contacto com alguém que havia previamente testado positivo ao COVID-19, assim como o seu nome, endereço MAC, e outras informações.

Esse problema afeta diversas aplicações de contacto da mesma família do Stayaway Covid, e foi apresentado à Google em fevereiro pelos investigadores da AppCensus, mas que a gigante tecnológica terá falhado em corrigir. O problema levou mesmo a que a app de contacto utilizada na Holanda tenha sido temporariamente desativada. E por isso, a Associação D3 - Defesa dos Direitos Digitais pede o mesmo para Portugal: que se suspenda imediatamente a aplicação Stayaway Covid.

Stayaway Covid: “Utilização poderá ainda ser muito útil e evitar muitos contágios”
Stayaway Covid: “Utilização poderá ainda ser muito útil e evitar muitos contágios”
Ver artigo

Nas palavras de Ricardo Lafuente, vice-presidente da D3, “Esta notícia vem reforçar a evidência que a Stayaway não é um mecanismo eficaz ou sequer seguro, e que no final não ajudou a resolver nenhum dos problemas a que se propôs. É fundamental reavaliar as consequências da adoção em massa de apps como forma de responder a crises de saúde pública”.

A associação reforça a posição da Comissão Nacional de Proteção de Dados, quando disse que o uso das infraestruturas da Google e Apple têm uma parte crucial da sua execução que não é controlada pelos autores da aplicação ou responsáveis pelos tratamentos, mas sim pelas gigantes tecnológicas. Isso faz com que a total segurança da app Stayaway Covid não seja garantida nem pelo Governo, como a sua developer, neste caso, a INESC-TEC.

Ainda esta semana Rui Oliveira, líder do projeto, disse ao SAPO TEK que a ferramenta continua a ser eficaz no combate contra a pandemia, destacando que apesar da vacinação ainda estamos longe de chegar à imunidade de grupo para voltar à normalidade. No entanto, os números de instalação e utilização continuam a baixar: são gerados cada vez menos códigos e as pessoas infetadas não as colocam na app, o que para o administrador da INESC-TEC torna inútil a aplicação no telemóvel.

O Governo quer mudanças na aplicação, de forma a agilizar a comunicação e inserção do código, aumentando a sua abrangência. O projeto de decreto-lei do Governo pretende agilizar o processo de obtenção e comunicação do código de legitimação de um teste positivo à COVID-19, permitindo que este seja gerado por outros profissionais de saúde, que não apenas médicos, e por meios totalmente automatizados.

O SAPO TEK pediu uma reação à INESC-TEC sobre o caso da quebra de segurança nas apps de contacto em Android, não tendo recebido ainda respostas no fecho desta notícia.