ANSOL rejeita "medidas de segurança" da EMEL

Dois grupos de estudantes criaram duas aplicações, a Gira+, que é Software Livre, e a mGira, para poderem utilizar as bicicletas GIRA, geridas pela EMEL, uma vez que a aplicação da própria EMEL deixou de ter suporte e, por consequência, passou a ter problemas de utilização. As duas aplicações foram bem recebidas pela comunidade de utilizadores das bicicletas.

Recentemente, a EMEL contratou uma empresa para actualizar a aplicação e a sua infraestrutura, com o objectivo de impedir a utilização do serviço GIRA por parte de terceiros, e assim bloquear o funcionamento daquelas aplicações.

O caderno de encargos apresentado pela EMEL menciona duas categorias de actualizações: melhorias à experiência de utilização, e medidas de segurança. Já a proposta apresentada pela empresa contratada apenas se foca nas medidas de segurança, tendo as melhorias à experiência de utilização sido deixadas para uma fase posterior. Esta ordem de prioridades fará com que os utilizadores das bicicletas sejam prejudicados: não vêem a aplicação oficial melhorada, e passam a ser impedidos de utilizar as alternativas. Além disso, as medidas de segurança apresentadas são baseadas em estratégias que muito preocupam a ANSOL, por irem contra os princípios do Software Livre e da liberdade de escolha dos utilizadores. Por exemplo:

• SSL Pinning - Serve principalmente para impedir os utilizadores de inspeccionarem as comunicações que a aplicação faz com os servidores. A própria Google desaconselha esta prática nos seus guias de desenvolvimento de Android, e a técnica equivalente nos navegadores de internet foi descontinuada há 4 anos;
• Ofuscação de código - Vai contra a liberdade de estudarmos o software que corre nos nossos próprios dispositivos, e não traz benefícios de segurança para o utilizador, apenas escondendo quaisquer falhas de segurança que a aplicação possa ter;
• Validação de APP genuína - Serve para implementar DRM, que a ANSOL tem combatido desde a sua criação. É um mecanismo que impede a utilização da aplicação em telemóveis que tenham root, em telemóveis cujos utilizadores não queiram usar os serviços da loja da Google ou da Apple, ou em aparelhos com sistemas operativos que a EMEL não suporte explicitamente.

Tais medidas, que a EMEL classifica como “de segurança”, não trazem benefícios de segurança para os utilizadores do serviço, e têm como único objectivo impedir que os utilizadores estudem o comportamento das aplicações que estão instaladas nos seus próprios dispositivos, o que vai contra o que a ANSOL tem defendido e considera boas prácticas. Software desenvolvido com dinheiro público, como é o caso do software desenvolvido pela EMEL, deve ser ele próprio público, com licenças livres.

Para além de querer bloquear as aplicações não oficiais, a EMEL prepara-se para impedir os utilizadores de usarem a aplicação oficial quando estes escolhem usar software livre nos seus equipamentos. O foco aparenta estar no bloqueio da utilização legítima do serviço GIRA e não na melhoria da experiência e usabilidade do serviço.

A ANSOL convida a EMEL a repensar a sua abordagem na actualização da aplicação, e continuará a acompanhar os desenvolvimentos desta situação.