O secretário de Estado para a Transição Digital defendeu no início de Junho a “soberania digital” perante a tecnologia conjunta da Apple e da Google na aplicação de rastreamento de contactos (ARC) para combate à pandemia. Mas a solução apoiada pelo governo, Stayway Covid, recorre a esta tecnologia, alerta a D3. Ao fazê-lo, “interage com o sistema operativo de uma forma que só a Apple e a Google controlam”.

O Conselho de Ministros aprovou na passada quinta-feira, 16 de Julho, o decreto-lei que estabelece a Direcção-Geral da Saúde como responsável pelo tratamento dos dados e autoridade gestora do sistema, bem como regula a intervenção do profissional de saúde no sistema Stayaway Covid.

A aplicação usa a tecnologia Bluetooth Low Energy (BLE) e “notifica os utilizadores da exposição individual a factores de contágio por SARS-CoV-2”, após o contacto “com um utilizador da aplicação a quem posteriormente tenha sido diagnosticada a doença”.

Trata-se de “um instrumento complementar e voluntário de resposta à situação epidemiológica pelo reforço da identificação de contactos”, tendo a Comissão Nacional de Proteção de Dados recomendado “que fosse dado enquadramento legal a alguns dos aspectos respeitantes ao seu funcionamento”.

O diploma obriga a app a “respeitar a legislação e a regulamentação sobre proteção de dados e sobre cibersegurança”. No entanto, o próprio site da app explica sobre o utilizador poder ser identificado pelo seu uso, que “é extremamente improvável, mas possível”

O sistema, que deveria estar disponível no final de Maio e está aparentemente pronto desde o início de Junho, foi desenvolvido pelo INESC TEC com o Instituto de Saúde Pública da Universidade do Porto e as empresas Keyruptive e Ubirider, no âmbito da Iniciativa Nacional em Competências Digitais e.2030.

O site da app explica que, “no caso de ser diagnosticado com COVID-19, a aplicação ajuda os outros, alertando-os que eu, sem o saber, era portador da doença quando estive próximo deles. E isto é feito sem nunca ser revelada a identidade de ninguém”. Esta afirmação é relativa porque existem várias formas de fazer “hacking” ao BLE.

Segundo o “The Practical Guide to Hacking Bluetooth Low Energy“, as três principais vulnerabilidades a que os utilizadores podem ficar expostos no uso desta tecnologia são as escutas ilegais (“eavesdropping”), os ataques “Man in the Middle”, bem como os de negação de serviço (DDoS) e os ataques “fuzzing”.

Críticas mais vastas
A Associação D3 – Defesa dos Direitos Digitais emitiu um comunicado mais alargado sobre os efeitos da Stayaway Covid, em que destaca “a sua profunda preocupação e apreensão pela falta de transparência no seu desenvolvimento, e pelas consequências implicadas pelo uso generalizado de uma solução tecnológica, com eficácia não comprovada e com muitas dúvidas por responder”.

No âmbito dos “falsos positivos e negativos”, ocorrem “muitas situações em que serão registados contactos que não existiram: por entre divisórias finas, barreiras de proteção de acrílico ou vidro, ou mesmo engarrafamentos, registar-se-ão imensos contactos entre pessoas que na verdade não aconteceram. Pior, a tecnologia Bluetooth não foi feita para medir distâncias. Também foi publicado recentemente que as ARCs não funcionam dentro de autocarros, com uma taxa de deteção inferior a 5% devido à estrutura de metal do veículo, que interfere com o Bluetooth”.

Assim, “a cada falso positivo corresponde não só tempo perdido por parte da comunidade científica a tentar compreender que partes das redes de contaminação são fidedignas e quais não são, como também será uma causa desnecessária de ansiedade e desespero por parte de cada pessoa que receber a mensagem a dar a má notícia – e a própria app aconselha imediatamente o isolamento a quem receber a notificação, o que só vai agravar essas consequências”.

Este não é um problema hipotético pois sabe-se que “houve mais de 12 mil casos de falsos positivos na app oficial que levaram à quarentena desnecessária” em Israel.

Em resultado disso, “um cenário particularmente plausível é o de que rapidamente as pessoas se apercebam que as notificações não são para levar a sério, o que arrasaria com qualquer potencial de eficácia da Stayaway”.

A D3 aponta ainda que “apesar de já terem passado várias semanas desde que as primeiras ARCs começaram a ser usadas pela Europa, continua um silêncio revelador sobre os seus efeitos positivos”.

Em sentido contrário, “Joana Gonçalves de Sá articulou no Público a enorme dificuldade em implementar com sucesso uma solução técnica deste género”, enquanto estudos questionam “se estas apps são sequer eficazes, condenando a falta de transparência na sua implementação” e “um conjunto grave de ineficácias e riscos para a privacidade“.

Código fechado e apoiado
A associação critica ainda o apoio do Primeiro-Ministro e de vários ministros à app, nomeadamente pela “sua intenção de instalar esta ARC sem sequer a terem visto ou usado”, sendo “uma solução técnica cujos métodos de funcionamento ainda ninguém conhece, porque o seu código-fonte ainda está mantido em segredo”. Este só deve ser mostrado quando a app for disponibilizada ao público, asseguram os seus responsáveis. [ver comunicado da ANSOL “Disponibilização do código da STAYAWAY COVID não é suficiente“: Apesar do INESC TEC afirmar que vai disponibilizar o código fonte da aplicação, é certo que esta usa a API da Google e da Apple, cujo código não é escrutinável e, portanto, a disponibilização do código pelo INESC TEC corresponde apenas a uma parte da aplicação por onde passam os dados dos cidadãos.

“Qualquer modelo que passe por usar código que os cidadãos não podem escrutinar deve ser rejeitada. Estamos a falar de dados de saúde e, portanto, dados muito sensíveis. É imperioso que os cidadãos saibam que dados são recolhidos, quem os recolhe, e como é que esses dados vão ou podem ser usados.”, afirma Tiago Carrondo, presidente da ANSOL, acrescentando “A mera informação sobre quem instala ou não a aplicação pode ser usada como fonte de discriminação”.]

Trata-se de algo “fundamental para qualquer noção de controlo democrático de uma aplicação que vamos todos ser incentivados a instalar”.

A falta de coincidência temporal no lançamento e disponibilidade do código não permite neste versão inicial qualquer proposta de melhoramento técnico. Na Alemanha, por exemplo, “o código foi publicado duas semanas antes do lançamento (…) e vários problemas foram resolvidos graças a este processo aberto”.

Por fim, “a Stayaway recorre à API da Apple e da Google para poder funcionar, o que significa que interage com o sistema operativo de uma forma que só a Apple e a Google controlam; ou seja, mesmo que o código da Stayaway seja integralmente publicado, falta publicar a parte do código do sistema operativo que manipula a informação obtida pela app”, salienta a D3.

Assim, estas empresas estrangeiras acedem aos dados de instalação e utilização da app, podendo cruzar essa informação com a obtida no acesso às suas “stores” ou no uso de outras aplicações.

Além do enorme perigo na criação de perfis individuais para conhecer a vida social do utilizador, será possível “complementar os perfis usados para o targeting de anúncios: uma empresa de produtos médicos poderá assim apontar os seus anúncios a pessoas que instalaram a Stayaway, por serem um público mais suscetível de aceitar soluções mágicas para lidar com o desespero que a pandemia provoca. As proteções de privacidade prometidas pela Stayaway não o conseguem impedir”.

Se não fosse já suficiente toda esta dependência da solução, decorre ainda uma outra consequência em que Apple e Google “podem alterar unilateralmente o funcionamento do seu código, e não há forma das pessoas (ou do Governo) saberem o que mudou”, tendo de aceitar a situação quando “aceitam recorrer a estas componentes fechadas que não podem ser auditadas”.

Para contribuir na resolução destas questões, a D3 requer “a publicação imediata do código-fonte” da app, “a publicação dos mecanismos de funcionamento Apple+Google para esclarecer a privacidade dos dados de utilização”, bem como “a divulgação do montante de financiamento público do desenvolvimento” da solução.

[Actualização a 1 de Setembro de 2020: Alguns apontamentos sobre as aplicações móveis para controle da Covid-19, Stayaway Covid: as tuas perguntas e respostas e Comunicado de Imprensa da Associação D3:
Às dúvidas que exprimimos anteriormente, juntamos outras perguntas a que é fundamental obter resposta:
– Quanto custou o desenvolvimento da app? Há ou não financiamento público no seu desenvolvimento?
– Onde está o código-fonte do servidor da Stayaway?
– Porque não está disponível o código que mostra o que Apple e Google fazem com os dados? Quais têm sido os esforços do Governo para assegurar transparência total por parte destas entidades?
– Em que se baseia o Governo para afirmar que a Stayaway é uma “ferramenta eficaz”, quando não há dados concretos que demonstrem a eficácia destas apps?
– Se uma pessoa for notificada, com a app a recomendar o seu isolamento, existe justificação de falta ao trabalho, a um exame, a aulas, a reuniões?
– O que acontece se se concluir que a app não serviu para nada, como as experiências lá fora estão a evidenciar?]

[Outras actualizações: Google Promises Privacy With Virus App but Can Still Collect Location Data: When Google and Apple announced plans in April for free software to help alert people of their possible exposure to the coronavirus, the companies promoted it as “privacy preserving” and said it would not track users’ locations. Encouraged by those guarantees, Germany, Switzerland and other countries used the code to develop national virus alert apps that have been downloaded more than 20 million times. But for the apps to work on smartphones with Google’s Android operating system — the most popular in the world — users must first turn on the device location setting, which enables GPS and may allow Google to determine their locations. Some government officials seemed surprised that the company could detect Android users’ locations.

Linux Foundation announces open source exposure notification apps initiative to combat COVID-19: The Linux Foundation introduced its latest project that uses open source technologies to help public health authorities (PHAs) fight against the COVID-19 pandemic. The Linux Foundation Public Health (LFPH) initiative, announced on Monday, focuses on the use of open source exposure notification applications.

The inside story of how government failed to develop a contact-tracing app: Matt Hancock was clear: it was all Apple’s fault.

Government admits breaking privacy law with NHS test and trace: The UK government broke the law in rolling out its test-and-trace programme without a full assessment of the privacy implications, the Department of Health and Social Care has admitted after a legal challenge. The Guardian can reveal the programme has already led to three data breaches involving email mishaps and unredacted personal information being shared in training materials.

Uber offers COVID-19 contact tracing help amid chaotic U.S. response: Uber Technologies Inc has quietly launched a service to give public health officials quick access to data on drivers and riders presumed to have come into contact with someone infected with COVID-19, company officials told Reuters. (UK Uber drivers are taking the algorithm to court)]