Do FGTS ao Bolsa Família: apps de serviços públicos do Brasil olham mais os seus dados do que deveriam

• “FGTS“
• “IRPF”
• “Bolsa Família”
• “SP Serviços”
• “Ponto Certo”

Segundo levantamento do G1 entre os mais populares apps de serviços públicos brasileiros, esses e outros aplicativos acessam mais os dados dos usuários do que deveriam.

Para chegar a essa conclusão, foi preciso analisar permissões para acessar os smartphones pedidas por 57 aplicativos e questionar desenvolvedores para que eram utilizadas cada uma delas.

A lista tem 15 órgãos públicos ou empresas contratadas por eles, e inclui Caixa Econômica Federal, Receita Federal, Banco Central, Prodesp, Prodam e Serpro. O sistema operacional que foi levado em conta é o Android, que equipa mais de 83% dos smartphones no Brasil.

Permissões são autorizações que os apps pedem antes de acessar algum compartimento do smartphone, como câmeras, microfones ou o Wi-Fi. Vale para ler, alterar ou incluir dados no dispositivo, caso das fotos e armazenamento de arquivos.

Dona de apps que se tornaram os mais baixados no Brasil, como “FGTS” (para consultar o saldo do fundo de garantia) e “IRPF” (para fazer a declaração do Imposto de Renda), a Caixa pede mais informação do que o necessário em seus cinco serviços móveis para smartphone. A Caixa pede que liberem seus apps para usar contas de outros serviços, como Google e Facebook. Só que os apps não têm funções que precisem disso.

Já a Companhia de Processamento de Dados do Estado de São Paulo (Prodesp), maior publicadora de programas públicos na loja do Google com 21 aplicativos, tem oito apps nessa situação.

O “SP Serviços”, usado para tirar documentos como RG no estado de São Paulo, pede para ver e excluir fotos e arquivos armazenados no celular. Os apps “Atestado de Antecedentes Criminais” e “PGE-SP” também fazem isso – esses dois pedem seis permissões, mas só usam duas delas.

O “SP Serviços” pede ainda uma autorização para acessar um recurso que pode mostrar se o celular está fazendo uma chamada telefônica e para qual número.

Alguns desenvolvedores não revelaram para que usam cada uma das permissões, mas informaram condutas temerárias, segundo especialistas. É o caso da Ponto Certo, responsável pelos apps de recarga de Bilhete Único em São Paulo e cidades da região metropolitana paulista.

Dona de oito apps, a empresa afirma que averigua a localização dos usuários para traçar “padrões de comportamento de recarga” e diz fazer isso para “proteção e prevenção de fraudes”.

A Anatel possui dois apps, cada um com 18 permissões. Em resposta ao G1, a agência diz ter “utilizado um modelo padrão de permissões que atenderia as funcionalidades desenvolvidas bem como as futuras evoluções”.

Solicitar acesso a dados desnecessários é uma prática explicitamente não recomendada pelo Google, que desenvolve o Android. Segundo especialistas consultados pelo G1, esse comportamento coloca a privacidade das pessoas em risco e ameaça a segurança dos smartphones ao submeter dados pessoais a uma exposição desnecessária.

“Pedir dados que você não vai usar é algo que certamente vai contra a proteção constitucional da privacidade”, diz Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio).

Ele explica que esses públicos, diferentemente de empresas que trabalham intensamente com dados de usuários, não se preocupam em deixar claro para as pessoas como utilizam todas as informações pessoais que possuem.

“A empresa pode vender, o governo pode fazer muito mais que isso, especialmente em governos menos democráticos. Ainda em regimes democráticos como o brasileiro, é bom a gente não desconsiderar esse argumento achando que isso é um problema só dos chineses ou do cidadão da Arábia Saudita”, diz Souza.

“Uma vez que esse dado ingressa na base pública, a gente começa a lidar com o fator humano e o fator humano pode fazer com que esse dado seja utilizado para as mais diferentes situações.”

Para os desenvolvedores de software do Instituto de Pesquisa Eldorado, um dos centros de tecnologia reconhecidos pelo governo, pode haver problemas de segurança digital.

“Com essas permissões desnecessárias, o app pode cair em alguma vulnerabilidade”, diz o engenheiro Vitorio Tadao. “O desenvolvedor precisa remover essas permissões que não utiliza porque a gente não sabe onde vão surgir pontos para um malware explorar isso.”

Ele lembra que, a partir do Android 6.0, é possível desabilitar permissões e continuar a usar o app. Só que essa versão do sistema operacional roda em pouco menos de 20% dos celulares.

Caixa e Prodesp dizem que os pedidos de permissão a mais foram incluídos nos apps tendo em vista a implantação de novos recursos.

Ângelo Selegato, gerente nacional de aplicativos da Caixa, diz que não há risco à segurança dos aparelhos: “A solicitação é feita, mas a informação é desprezada”.

“O aplicativo já está preparado para obter essa informação e, quando for tratada de alguma forma por algum motivo, isso estará disponível. É só para evitar que esse padrão tenha que ser desenvolvido novamente.”

“A Prodesp não vai de alguma forma agir com esses dados”, diz Andrea Mihee Jin, coordenadora de inovação e consultoria da empresa. Ela justifica: “Mesmo [a permissão] não sendo utilizada, é uma facilidade para o desenvolvimento, mas, caso ela não venha a ser utilizada, a gente vai fazer teste e vai tirar. Eu bato nessa tecla: mesmo não sendo utilizada, não há risco para o cidadão.”

Cristiano da Silva Xavier, líder técnico mobile da Prodesp, lembra que se trata de uma empresa do estado, “que não utiliza essas permissões para acesso a nenhum ao dado do cidadão”.

Os executivos da Prodesp dizem ainda que há na origem dessas solicitações outras duas situações: a) quando foram criados, esses programas tinha como base outras versões do Android, que pediam uma lista padrão de permissões; b) o app teve funções excluídas sem que os pedidos de acesso que lhes davam suporte fossem retirados também. Como os programas não receberam atualizações, as permissões permaneceram por lá.

Os especialistas criticam o uso deliberado das solicitações de dados. O engenheiro de software Vitorio Tadao diz não ver sentido em acessar uma função do smartphone para criar um recurso que só será implantado no futuro e ainda não está em funcionamento. “Toda atualização pede as permissões novamente. Não tenho adjetivos para isso”, diz. Para ele, as solicitações extra ocorrem por “erro, não saberem o que estão fazendo ou reuso de código.”

Segundo os especialistas, seja lá qual for a explicação, as portas do smartphone do usuário já foram abertas desnecessariamente.

“A partir do momento em que você autoriza, a aplicação pode fazer o que quiser: consultar, coletar. Se [o desenvolvedor] tiver implementado [a permissão] errado, pode até não fazer nada com essa informação, mas o usuário final não vai saber”, diz Rogério Júnior, do Instituto de Pesquisa Eldorado.

“Isso é o diagnóstico de um país que, por não ter uma lei de dados pessoas, tem dificuldades de construir uma cultura de proteção aos dados pessoais”, afirma Souza, do ITS Rio.