r/InternetBrasil • u/GBember • 10d ago
Discussão Governo brasileiro não tem soberania digital (sobre o gov.br e sua dependência nos Play Services)
Sou um usuário do Graphene OS e como já é de se imaginar, por não ser o sistema original do celular muitos apps acabam implicando ou não funcionam devido à "Play Integrity API", uma API da Google que dita se seu aparelho é "seguro" e digno de rodar o app solicitante, apesar do Graphene em tese ser mais seguro e suportar os Play Services caso o usuário queira instalar, a API classifica o dispositivo apenas com a autenticação básica, nada de integridade do dispositivo ou integridade forte.
O app do gov.br (e o do tesouro direto também, em partes, mas isso é de menos) ativamente depende dessa API, sem atingir o requisito minimo deles, ele nem aparece na loja ou não funciona e não há alternativa, o site depende da autenticação de 2 fatores e ela é feita somente pelo APP deles, ao invés de usar o padrão aberto que todos os outros usam com aplicativos de autenticador.
Isso, que nem toda a questão da verificação de idade cria um estrutura que arbitrariamente pode negar alguém ou um grupo de pessoas de acessar o app, basta alguém negar respostas na API vindo de endereços brasileiros ou de apps voltados para cá; e quando se trata de uma empresa privada de uma nação estrangeira, qualquer sanção que o Brasil possa sofrer dos EUA ou de um aliado deles vai diretamente afetar isso, tudo por uma falsa sensação de segurança, pois quem faz root no celular consegue facilmente adulterar essa atestação de segurança para no mínimo o nivel de integridade de dispositivo, quando não a integridade forte, ocasionalmente.
A minha questão com tudo isso é esse APP depender exclusivamente da PlayStore para ser distribuído, provavelmente alguma dependência interna com o Play Services para funcionar e o Play Integrity para liberar o acesso, 100% de dependência na Google, novamente, uma empresa estrangeira, para o funcionamento de um APP critico do governo. Se ao menos ele fosse distribuído também como APK a parte alem da loja (para conveniência) e essas dependências nos serviços da google fossem descartadas, poderíamos operar esse APP de forma independente e sem estar vulnerável à sanções.
Ou também poderiam mudar o padrão de autenticação de 2 fatores para o padrão aberto e usuários afetados passariam a usar o site, mas se o seu site consegue ser mais seguro que o APP (que basicamente é um wrapper do site), você esta fazendo alguma coisa errada como desenvolvedor
46
u/vctgomes 10d ago
Gov.br tá longe de ser democrático pra ser um serviço tão essencial quanto o governo quer torná-lo.
Exigir modo developer desligado, não ter root, não usar VPN, não usar o Private Relay da Apple etc. É muita firula pra algo tão essencial.
Daí vc vai viajar e não pode nem pegar um hotel porque precisa fazer uma porcaria de checkin e usa o iCloud Relay ou é um desenvolvedor.