A Controladoria-Geral da União (CGU), publicou um relatório de auditoria realizado para avaliar a segurança e a privacidade dos aplicativos móveis do governo federal nas lojas da Google e da Apple. E constatou uma série de “fragilidades” nos código-fontes do sistema Android nos apps.
” Verificou-se ainda a presença de brechas de segurança ou vulnerabilidades cibernéticas que ampliam a superfície de ataque. Foram identificadas ainda impropriedades no controle de acesso aos consoles de gerenciamento da Google, aplicativos fora da conta única do Governo Federal e lacunas no atendimento das reclamações realizadas nos comentários feitos pelo cidadão para a melhoria da qualidade dos aplicativos”, informa o documento da CGU.
De acordo com o relatório, testes de segurança foram aplicados em uma amostra de 149 apps do Governo Federal que estão disponíveis na Google Play Store. Os aplicativos são de 19 órgãos superiores e 22 temáticas públicas (políticas e serviços públicos). Deste volume, 42 são aplicativos do Ministério da Economia. Entre os testados cerca de 35% (52 apps) dizem respeito ao atendimento direto ao cidadão.
Em abril de 2019 o governo publicou o Decreto Nº 9.756 de unificação de canais digitais. E na regulamentação dele através da Portaria da SGD – Secretaria de Governo Digital, determinou o prazo de 31 de dezembro de 2020 para que órgãos e as entidades da administração pública federal migrassem os conteúdos de seus portais na internet para o portal único (registrado sob o domínio Gov.Br). Os aplicativos de serviços públicos deveriam migrar para a conta de desenvolvedor denominada ‘Governo do Brasil’ (conta única) nas lojas Google Play Store e Apple Store.
Oferta fora da conta única do governo
“Ocorre que, a partir de buscas realizadas, entre 07/06/2021 e 14/06/2021, na página de pesquisa dessas lojas, foram identificados aplicativos móveis de serviços públicos federais sendo mantidos em conta diversa da conta única”, informaram os auditores.
Como exemplo a CGU citou aplicativos do SUS – Sistema Único de Saúde. Na Apple Store, nos apps relacionados à temática de Saúde, foram encontrados 13 aplicativos do governo federal na conta de desenvolvedor denominada “Departamento de Informática do SUS” (Datasus). Também foram encontrados 12 destes aplicativos sendo mantidos na Google Play Store. Só que além dessas lojas, os auditores identificaram pelo menos um aplicativo sendo disponibilizado fora do ambiente de governo. O app era mantido numa conta chamada “Lemobs Soluções em Tecnologia da Informação”, que também estava disponível nas lojas Apple Store e Google Play Store.
O mesmo ocorreu com aplicativos relacionados a Educação. Foram encontrados diversos aplicativos relacionados às Universidades Públicas Federais brasileiras sendo mantidas em outras contas de desenvolvedor, em ambas as lojas e não apenas na conta de desenvolvedor denominada “Governo do Brasil”. Foi dado prazo para regularização que supostamente ainda está em aberto, já que o relatório da CGU não informa se a retificação foi realizada.
Falta de contato com usuário
A CGU constatou também que não há controle e alguma forma de melhoria na prestação dos serviços por meio dos aplicativos, a partir da análise dos comentários dos usuários. Com base em notas de usuários para 242 aplicativos nas duas lojas (notas de 1 a 5), os auditores constataram que 128 apps:
- tiveram nota média abaixo da nota 3, 90;
- tiveram média igual ou maior que 3 e menor que cinco.
- apenas 24 aplicativos tiveram nota igual a cinco.
A maior parte dos comentários se localiza na faixa de avaliação abaixo da média 3 (23.364 comentários), contra 13.149 no intervalo de avaliação entre 3 e 5. E apenas 63 com nota igual a 5. A CGU também constatou um grande volume de comentários (8.499) sem resposta do governo, relacionados a 157 aplicativos.
Os auditores constataram um número significativo de usuários com a credencial de “Suporte ao Cliente” cadastrados na Google Play Console. No app “Carteira de Trabalho Digital”, por exemplo, os auditores verificaram que em maio de 2021 o aplicativo possuía um “público instalado” de mais de 13 milhões de clientes. E mais de 70 usuários tinham a credencial de Suporte ao Cliente. “Mesmo assim, não havia resposta alguma sobre os cerca de 400 comentários feitos pelos clientes do aplicativo”, destacou a auditoria.
A mesma situação foi constatada no “e-SUS Território”, que se propõe a oferecer apoio tecnológico aos Agentes Comunitários de Saúde. O app apresentava um total de 440 comentários de clientes sem resposta, com um “público instalado” de 54,4 mil.
“É oportuno mencionar a relevância de se monitorar comentários de clientes de aplicativos móveis, considerando a riqueza de informações que podem ser coletadas com quem utiliza diretamente o aplicativo. Assim, foi recomendado à SGD ( Secretaria de Governo Digital), estabelecer como regra que os comentários registrados nas lojas (Google Play e Apple Store) pelos clientes dos aplicativos móveis disponibilizados na conta única do Governo Federal sejam utilizados como um canal de relacionamento com os clientes, servindo ainda de base para a coleta de feedback em relação às necessidades de melhoria dos aplicativos”, recomendou a CGU.
Falhas na Credencial de Administrador
O usuário Administrador do Google Play Console possui acesso a todas as funcionalidades permitidas pelo console sobre o aplicativo, podendo inclusive incluir novos usuários com a mesma permissão e ainda publicar novas versões do aplicativo. Para a CGU, o ideal seria atribuir a permissão de Administrador para, pelo menos, duas pessoas da equipe técnica do órgão ou entidade, conforme o disposto na norma ABNT NBR ISO/IEC 27002/2013 .
Entretanto, os auditores verificaram que, na relação de credenciais enviada pela SGD fevereiro de 2021 contendo os usuários do Google Play Console e as permissões concedidas, foram identificados 36 aplicativos com mais de dois usuários administradores, totalizando 159 usuários distintos. E ainda nove aplicativos com mais de quatro usuários Administradores, que totalizam 59 usuários.
Foram encontrados ainda outros 31 registros inconsistentes pelos auditores e alguns chamam a atenção para o descontrole administrativo:
- dos 24 usuários que responderam ainda fazer parte da equipe de manutenção do aplicativo, 8 informaram que a credencial de Administrador concedida no console era incompatível com o papel desempenhado por eles;
- dos 21 usuários que responderam que na data de 19/05/2021 já estavam desligados da equipe, 18 ainda detinham a credencial de Administrador;
- dos 8 usuários que afirmaram nunca terem feito parte da equipe de manutenção de aplicativo móvel, 5 possuíam a credencial de Administrador;
- dos 5 usuários que possuíam a credencial de Administrador e que responderam assumir papéis compatíveis com essa credencial dentro da equipe de manutenção do aplicativo móvel, somente 3 responderam que possuíam autorização formal do dirigente do órgão responsável pela gestão do aplicativo, e desses, apenas um usuário encaminhou documento probatório.
Credencial de Publicador
Nas informações enviadas pela Secretaria de Governo Digital foram encontradas outra falha. A relação de usuários do Google Play Console com permissões concedidas para publicar aplicativos mostrava um total de 332 usuários nesta condição. E isso em apenas 58 apps. Significa que muitos aplicativos tinham mais de dois usuários portando essas credenciais, o que não é recomendado por questões de segurança.
“Considerando o risco de que sejam publicadas versões corrompidas ou com algum tipo de malware, de maneira análoga ao tratamento dado ao usuário Administrador, é recomendável que cada aplicativo tenha o menor número possível de pessoas com a credencial de Publicador, a exemplo de um titular e um suplente ou substituto”, entendem os auditores da CGU.
Só que a realidade das informações era bem outra:
- 8 aplicativos tinham mais de 9 usuários publicadores, com destaque para 4 aplicativos mantidos pelo Serpro.
- Um dos aplicativos chegava a ter 20 usuários com credencial de Publicador;
- dos 24 usuários que responderam ainda fazer parte da equipe de manutenção do aplicativo, 15 informaram que a credencial de Publicador concedida no console era incompatível com o papel desempenhado por eles;
- dos 21 usuários que responderam que na data de 19/05/2021 já estavam desligados da equipe, todos ainda detinham a credencial de Publicador;
- dos 8 usuários que afirmaram nunca terem feito parte da equipe de manutenção de aplicativo móvel, todos ainda possuíam a credencial de Publicador.
“Diante disso, foi recomendado que a SGD implantasse uma rotina de verificação periódica de usuários e credenciais para ambos os consoles (Google Play Console e Apple Store Connect) que busque permissões defasadas em relação aos papéis de membros da equipe de gestão dos aplicativos, visando mitigar o risco de incidentes de segurança provocadas pelo mau uso dessas credenciais”, informou a CGU.
Correio eletrônico
A CGU também encontrou “impropriedades relacionadas à conta de correio utilizada como login de acesso ao console de gerenciamento”. Com base nas informações que a Secretaria de Governo Digital enviou para os auditores em fevereiro de 2021, eles identificaram riscos para segurança, que são as seguintes:
- Foram identificados 55 aplicativos sem usuários cadastrados com permissão de Administrador.
- Há 68 logins de usuários do console da Google Play, relacionados a 125 aplicativos móveis, compostos por endereços de e-mail do tipo “compartilhado”, aqui entendidos como contas de e-mail não utilizadas individualmente pelo membro da equipe do órgão ou entidade (ex.: suporte@orgao.gov.br).
- Em 84 desses 125 aplicativos, foram identificados 29 logins de e-mails contendo a permissão de Administrador (fornecendo amplo acesso ao console de gerenciamento da Google), o que pode agravar a constatação aqui apontada.
- Há 159 logins de usuários do console da Google, relacionados a 67 aplicativos móveis, compostos por endereços de e-mail do tipo “pessoal” (com domínio gmail ou hotmail).
“Apesar de a SGD não enxergar tais ocorrências como sendo um problema impactante, elas demonstram que não há uma padronização a esse respeito, por parte do órgão central, e podem indicar deficiências de gestão das permissões dos usuários do console”, informou a CGU.
“É possível que contas de e-mail do tipo “compartilhado” sejam acessadas por diferentes pessoas dentro de uma mesma área ou setor do órgão ou entidade (ex.: um laboratório de informática) e não apenas por um indivíduo” (…) Tal prática pode dificultar a identificação de responsáveis por eventuais incidentes de segurança, necessitando de diretrizes claras por parte do órgão central para permitir sua adoção”, cobraram os auditores, que entende ser necessário que a SGD evite o uso de e-mail do tipo “compartilhado”, conforme o previsto na seção 9.1.2 da norma ABNT NBR ISO/IEC 27002/2013.
*O relatório está na página da Controladoria-Geral da União.