COVID-19: DECO desaconselha aplicação Houseparty. "Recolhe e partilha demasiada informação pessoal"

A Houseparty é uma app que combina uma rede social, videochamadas com jogos e realidade aumentada. Está disponível para Android e iOS, mas também pode ser acedida em Mac e PC através de uma extensão para o Google Chrome.

Numa altura em que muitos se vêem obrigados a ficar em isolamento social em casa, as aplicações sociais e de vídeoconferência subiram substancialmente nos rankings das mais descarregadas nas lojas de aplicações. A Houseparty surge no topo das preferências.

"Pela popularidade que conquistou, fizemos um teste de segurança e privacidade. Os resultados levam-nos a não recomendar que instale a aplicação. Comunicámos estes resultados à empresa responsável pelo desenvolvimento da app Houseparty e aguardamos resposta", explica a DECO.

Pela sua natureza, a Houseparty recolhe uma grande quantidade de informações pessoais. No registo, recolhe nome de utilizador, e-mail e password. Mas também recolhe som, imagem e localização. Além destes dados, na sua política de privacidade, a empresa informa que recolhe outras informações pessoais, como identificadores únicos, contactos ou números de telemóvel. No entanto, garante que nunca serão partilhados com terceiros.

"Testámos a app e podemos confirmar que há partilha de informação pessoal com uma longa lista de empresas terceiras como o Facebook, a Google e empresas de publicidade. Entre os dados que são partilhados encontram-se o e-mail e o nome de utilizador", refere a associação. "Recolhe e partilha demasiada informação pessoal", garante.

"O mais preocupante foi termos detetado, durante o processo de registo, o envio da lista de aplicações instaladas no dispositivo. Não vemos razão para este tipo de informação ser recolhida. Também não encontramos referência explícita à recolha desta informação na política de privacidade da empresa", acrescenta.

A lista de contactos do utilizador também é recolhida, mas, neste caso, o utilizador tem de permitir explicitamente o acesso à mesma.

"Além da privacidade, também analisámos a segurança. Embora a Houseparty não tenha nenhuma falha crítica, consideramos que deveria haver um nível superior de segurança no registo. Os dados são enviados através de uma ligação segura (https), mas a password deveria também ser encriptada antes de ser enviada para que, mesmo que consiga intercetar a comunicação, o atacante não consiga desencriptar a palavra-passe", indica a DECO.

"Aplicar uma técnica de fixação do certificado é outra prática que deveriam usar para impossibilitar ataques "man-in-the-middle" (quando os dados trocados entre duas partes são intercetados por um atacante)", sugere.

O processo de registo na aplicação obriga a fornecer e-mail, nome, nome de utilizador, password e data de nascimento. A app pede logo acesso ao microfone e à câmara do equipamento. Estas permissões são obrigatórias e sem elas não pode completar a instalação. Já a localização é facultativa e serve para localizar outros utilizadores próximos de si.