7
1
mirror of https://gitlab.com/ansol/web-ansol.org.git synced 2024-12-25 13:25:49 +00:00
web-ansol.org/content/noticias/2024-05-13-ansol-rejeita-medidas-seguranca-emel/index.md
2024-05-14 16:25:02 +01:00

68 lines
3.7 KiB
Markdown

---
layout: article
title: ANSOL rejeita "medidas de segurança" da EMEL
date: 2024-05-13
image:
caption: |
["Lisbon", por Neil](https://commons.wikimedia.org/wiki/File:Lisbon_(45923876392).jpg), sob a licença CC BY-SA 2.0.
---
Dois grupos de estudantes criaram duas aplicações, a
[Gira+](https://github.com/rt-evil-inc/gira), que é Software Livre, e a
[mGira](https://mgira.pt/), para poderem utilizar as bicicletas GIRA, geridas
pela EMEL, uma vez que a aplicação da própria EMEL deixou de ter suporte e, por
consequência, passou a ter problemas de utilização. As duas aplicações foram
bem recebidas pela comunidade de utilizadores das bicicletas.
Recentemente, [a EMEL contratou uma empresa para actualizar a aplicação e a sua
infraestrutura](https://www.base.gov.pt/Base4/pt/detalhe/?type=contratos&id=10695934),
com o objectivo de impedir a utilização do serviço GIRA por parte de terceiros,
e assim bloquear o funcionamento daquelas aplicações.
O caderno de encargos apresentado pela EMEL menciona duas categorias de
actualizações: melhorias à experiência de utilização, e medidas de segurança.
Já a proposta apresentada pela empresa contratada apenas se foca nas medidas de
segurança, tendo as melhorias à experiência de utilização sido deixadas para
uma fase posterior. Esta ordem de prioridades fará com que os utilizadores das
bicicletas sejam prejudicados: não vêem a aplicação oficial melhorada, e passam
a ser impedidos de utilizar as alternativas. Além disso, as medidas de
segurança apresentadas são baseadas em estratégias que muito preocupam a ANSOL,
por irem contra os princípios do Software Livre e da liberdade de escolha dos
utilizadores. Por exemplo:
* SSL Pinning - Serve principalmente para impedir os utilizadores de
inspeccionarem as comunicações que a aplicação faz com os servidores. A
própria Google desaconselha esta prática nos seus guias de desenvolvimento de
Android, e a [técnica equivalente nos navegadores de internet foi
descontinuada há 4
anos](https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning);
* Ofuscação de código - Vai contra a liberdade de estudarmos o software que
corre nos nossos próprios dispositivos, e não traz benefícios de segurança
para o utilizador, apenas escondendo quaisquer falhas de segurança que a
aplicação possa ter;
* Validação de APP genuína - Serve para implementar DRM, que a ANSOL [tem
combatido](https://drm-pt.info) desde a sua criação. É um mecanismo que
impede a utilização da aplicação em telemóveis que tenham *root*, em
telemóveis cujos utilizadores não queiram usar os serviços da loja da Google
ou da Apple, ou em aparelhos com sistemas operativos que a EMEL não suporte
explicitamente.
Tais medidas, que a EMEL classifica como *"de segurança"*, não trazem
benefícios de segurança para os utilizadores do serviço, e têm como único
objectivo impedir que os utilizadores estudem o comportamento das aplicações
que estão instaladas nos seus próprios dispositivos, o que vai contra o que a
ANSOL tem defendido e considera boas prácticas. Software desenvolvido com
dinheiro público, como é o caso do software desenvolvido pela EMEL, deve ser
ele [próprio público](https://publiccode.eu/pt/), com licenças livres.
Para além de querer bloquear as aplicações não oficiais, a EMEL prepara-se para
impedir os utilizadores de usarem a aplicação oficial quando estes escolhem
usar software livre nos seus equipamentos. O foco aparenta estar no bloqueio da
utilização legítima do serviço GIRA e não na melhoria da experiência e
usabilidade do serviço.
A ANSOL convida a EMEL a repensar a sua abordagem na actualização da aplicação,
e continuará a acompanhar os desenvolvimentos desta situação.