Pela defesa dos direitos digitais em Portugal




Muito se tem falado sobre as ARCs (Aplicações de Rastreamento de Contactos), e a D3 também tem estado nesse debate, inclusive com o lançamento do site informativo Rastreamento.pt.

Em Portugal, já foi aprovado pelo Conselho de Ministros um Decreto-Lei a estipular que a Stayaway Covid será a Aplicação de Rastreamento de Contactos a implementar, sob a alçada da Direção-Geral da Saúde.

Mas, se parece já certo que Portugal vai adoptar uma aplicação para o rastreamento de contactos, menos certas são as coisas que se vão dizendo sobre esta solução, e muitas são as perguntas que ainda estão por responder. Algum do discurso que se vai ouvindo parece indicar um conjunto de inevitabilidades: que uma aplicação destas é precisa, que estas aplicações funcionam, que o uso da API desenvolvida pela Google com a Apple é inevitável. Pelo que é importante perguntar: O que diz a comunidade científica sobre estas aplicações de rastreamento?

Neste artigo, que pretende ser diverso mas não necessariamente exaustivo, indicamos alguns papers que têm sido publicados sobre o tema desde que o debate sobre o uso de ARCs para o combate à COVID-19 se iniciou na Europa, incluindo um pequeno resumo sobre as suas conclusões. Só assim, informados, é que será possível haver um debate sério e justo sobre o tema, e esse debate - provam-no estes artigos - é necessário.

 

  • 2020-04-28 - Privacidade nas ARCs: que dados são partilhados pela app OpenTrace em Singapura? (ARC de Singapura). Como resultados, foi observado um leak de dados para a Google, um tradeoff feito a ceder na privacidade para ter mais eficácia, e problemas no esquema de cifra. Um bom exemplo de que só porque a solução usa Bluetooth não quer dizer que seja bem desenhada. Há também referência ao facto de haver tratamento de dados pela Google (baseada nos Estados-Unidos) que pode ser um problema. Seria interessante saber de que forma é que o uso da API Google-Apple (GAEN) não tem o mesmo problema, até à luz da recente decisão do Tribunal Europeu de Justiça.

  • 2020-05-06 - Avaliando o potencial do sinal Bluetooth para detectar proximidade - Serve o BLE como método para identificar se existiu proximidade? Conclui-se neste artigo que é difícil haver uma correlação, e não é infrequente um aumento de sinal não significar mais proximidade, e vice-versa. Estima-se uma grande taxa de falsos positivos e falsos negativos, com consequências danosas, e recomenda-se mais estudo para medição destas taxas, e sobre mecanismos de redução das mesmas. O que nos leva a questionar: quais foram os testes efetuados com a solução “Stayaway Covid”? Onde estão os dados resultantes desses testes? Quais são as taxas de falsos positivos e de falsos negativos previstos com esta aplicação?

  • 2020-05-19 - Ataque de repetição às ARCs com fatores de amplificação estimados - Descreve um possível ataque às ARCs que usam BLE, que permite ao atacante criar falsos positivos ao sistema. Indica que os passos para mitigar este ataque implicam uma nova camada de complexidade no desenho destas ARCs, mas o impacto deste ataque será maior quantos mais utilizadores tiver a app. A incursão pode ser usada para fazer ataques direcionados (por exemplo, fazendo com que os membros do Governo de repente fossem todos alertados de possível infeção), pelo que os potenciais danos causados por um ataque recorrendo a este método não são negligenciáveis. Este ataque foi comprovado em soluções que usam a API Google/Apple (GAEN), mas o estudo diz que ataques semelhantes deverão ser possíveis também em ARCs com outras implementações semelhantes. A equipa do DP^3T (protocolo que a aplicação STAYAWAY COVID, supostamente, implementa) sabe que o protocolo é vulnerável a este tipo de ataques desde Abril, mas continua sem endereçar o problema (que se saiba, visto que a API não é desenvolvida ou atualizada de forma transparente).

  • 2020-06-10 - Mind the GAP: Riscos de privacidade e segurança nas ARCs - Com o objetivo de estudar os riscos de privacidade e segurança das ARCs, e em particular das que implementem a “Google/Apple Proposal” (GAP), este artigo conclui que o modelo é vulnerável a dois tipos de ataques: perfilagem com possível de-anonimização dos dados, e ataques de retransmissão que causem um aumento de falsos positivos. Os autores defendem ainda que uma solução ARC não pode ter apenas a parte aplicacional aberta mas usar uma API fechada: para que haja confiança e adoção do sistema, este tem de ter todas as suas componentes (aplicação, servidores e APIs) em código aberto.

  • 2020-06-16 - GAEN: Analisando a API Google/Apple de Notificação de Exposição - Análise da API Google/Apple (GAEN), apontando problemas como a falta de transparência. Destacando o facto de que muitas autoridades de saúde se comprometeram numa solução de Software Livre, mas que o uso desta API é a introdução de uma dependência que não só não é Software Livre, como nem é publicamente bem documentada, esta análise aponta para problemas nas limitações da API que podem levar até a falsos positivos, e a preocupante falta de transparência no processo de atualizações automáticas, com as suas repercussões a vários níveis, incluindo técnicos e de privacidade. Esta análise foi feita à implementação da Google desta API, no Android, faltando uma análise semelhante a ser feita à implementação da Apple, para o iOS. Os autores concluem que o uso da GAEN pode afetar a performance das ARCs, afetando o número de falsos positivos e de falsos negativos. Conclui-se também que a falta de transparência da API, das suas implementações, e do seu processo de atualização, levanta óbvias preocupações, e reduz o valor da publicação destas aplicações em Software Livre.

  • 2020-06-23 - SwissCovid: uma análise crítica da medição do risco pelas autoridades suíças - Análise à avaliação de risco pelas autoridades Suíças, no que diz respeito à sua aplicação. Depois de serem conhecidos problemas na aplicação Suíça, entre os quais alguns inerentes ao uso do GAEN, as autoridades Suíças competentes consideraram esses ataques improváveis, por ser necessário que o atacante esteja em território nacional, e tal ataque em território nacional seria crime. Os autores deste artigo demonstram que este ataque é possível ser feito fora de território nacional. Os autores apontam também que, apesar deste artigo se focar na solução Suíça, as suas conclusões são relevantes para outros esforços do mesmo género. Finalmente, o artigo encoraja a CNPD Suíça a reavaliar a legalidade do uso do protocolo em que o GAEN assenta, à luz de determinada jurisprudência Suíça. Críticas à aplicação Alemã, que, por usarem GAEN, é também vulnerável a este tipo de ataque, foram ignoradas pela sua equipa de desenvolvimento, com o argumento de que eles “não gerem a API”, pelo que o assunto deve ser reportado “diretamente à Apple e Google”.

  • 2020-06-26 - Avaliação da API GAEN para deteção de proximidade num eléctrico - Avalia-se o desempenho do GAEN, através de medições num eléctrico (light rail tram). O estudo conclui que, tal como noutros transportes públicos, a tecnologia utilizada no GAEN não produz resultados úteis para a deteção de contacto e potencial transmissão, quando a aplicação é usada nestes ambientes. Foram usadas, como exemplo, as calibrações utilizadas nas aplicações Italiana, Alemã e Suíça. As aplicações Suíça e Alemã, com a suas regras de deteção, não registaram nada, enquanto que as regras da aplicação Italiana levaram-na a gerar 50% de corretos positivos, mas também 50% de falsos positivos, o que destaca a importância na escolha nos modelos de deteção, que devem ser bem anunciados e justificados (até ao momento, não há informação pública alguma sobre as decisões tomadas neste âmbito pela STAYAWAY COVID). Conclui-se ainda que, neste tipo de transportes públicos, o nível de ruído é grande o suficiente para ter um impacto na deteção de contactos usando o GAEN. Os autores do estudo apontam como limitação o facto destes testes não poderem ser feitos na versão Apple do GAEN, visto que a Apple limita o uso das duas APIs, mesmo para análise científica dos dados.

  • 2020-06-27 - A transparência na implementação de ARCs - Análise à transparência nos processos de desenvolvimento e implementação das ARCs. Com recurso às aplicações Alemã, Suíça e Italiana, os autores concluem que há necessidade de mais transparência, e mais-valias mensuráveis a obter com ela, incluindo a possibilidade de avaliar a eficácia destas aplicações. Este estudo (apontando também para estudos anteriores) considera que a questão sobre se as ARCs ajudam a verdadeira deteção de contactos, são apenas uma distração, ou se até causam problemas por via de falsos positivos é ainda uma questão em aberto. Considera, no entanto, que para estudar essa questão, e chegar a uma conclusão científica, são necessários maiores níveis de transparência. São feitas recomendações no sentido de aumentar essa transparência, e as recomendações não abrangem só a solução técnica da ARC, mas também os dados com que é necessário haver cruzamento (por ex., o número de casos diários positivos, que deve ser disponibilizado corretamente, e no dia do teste). Finalmente, os dados aqui recolhidos, e a metodologia utilizada, podem ser replicados e usados para uma melhor calibração das ARC, reduzindo o número de falsos positivos. Conclui-se, também, que o uso do GAEN levanta problemas de transparência.

  • 2020-07-06 - Rastreio de contactos: Uma visão geral das tecnologias e ciber-riscos - Estudo sobre ARCs e os seus “ciber-riscos”. Dentro das suas diversas conclusões, aponta que ainda não se sabe se as soluções baseadas em BLE são eficazes. Refere os problemas que advêm da falta de transparência das soluções baseadas na GAEN. Afirma que soluções baseadas em DP^3T colocam a privacidade dos utilizadores infetados em risco. Todas as soluções estudadas são susceptíveis a ataques direcionados. Conclui-se, assim, que até ao momento ainda não há uma solução tecnonógica eficaz, segura, e que garanta a privacidade.

  • 2020-07-09 - A orientação e tipo de dispositivos são suficientes para pôr em causa a precisão da notificação de exposição - Estudo que comprova que a orientação de dispositivos, ou a forma como eles são utilizados, basta para causar ruído suficiente para tornar ARCs baseadas no GAEN ineficazes, por causarem um número não negligenciável de falsos negativos, mesmo em condições ótimas, notando que a percentagem destes falsos negativos não é diretamente controlável pelos organismos de saúde, mas sim pelos implementadores do GAEN (Google e Apple).


Do conjunto dos papers analisados, conclui-se que as ARCs baseadas em BLE e que se apoiam no GAEN:

  • Não são adequadas para medir a proximidade com a precisão pretendida, podendo variar muito com o modelo de smartphone e condição de utilização. A limitação relaciona-se com a propagação de ondas electromagnéticas, e não é passível de ser alterada por software. Fala-se de algumas possíveis medidas de mitigação usando aprendizagem computacional, mas até hoje estas soluções não existem/não foram concretizadas. Este ponto levanta questões graves sobre a potencial eficácia devido ao elevado número esperado de falsos positivos e falsos negativos;
  • Permitem diversos ataques que manipulam o funcionamento da solução, por exemplo quando direccionadas a pessoas específicas que ficariam obrigadas a ficar confinadas, ou ataques de replicação que aumentam o número de falsos positivos;
  • Não são transparentes porque não permitem ver como a Google e Apple implementam o protocolo, não permitindo validá-lo, podendo estas empresas alterar o seu funcionamento sem escrutínio, e mesmo sem aviso;
  • Não são seguras, tendo sido identificados ataques que, até à data, ainda não foram mitigados;
  • Não se sabe o seu impacto, em particular se a introdução de uma ARC pode ter um impacto positivo, negativo ou nulo no combate à pandemia.