Está a usar a app Houseparty? A Deco desaconselha

Depois de uma análise à privacidade e segurança oferecidas pela Houseparty, a DECO desaconselha a utilização da aplicação móvel.

A Houseparty, que une videochamadas a jogos e viralizou nas últimas semanas, chegou ao topo das aplicações móveis mais descarregadas, numa altura em que o isolamento social em casa leva muita gente a reinventar formas de quebrar a rotina. Mas, nos últimos dias, centenas de utilizadores que instalaram a aplicação têm-na culpado, no Twitter, pelos alertas de segurança que começaram a receber em serviços como Netflix, Spotify, Instagram e Paypal.

A aplicação, disponível para Android e iOS, e também em Mac e PC através de uma extensão para o Google Chrome, acredita estar a ser alvo de uma campanha de difamação paga, garantindo que uma investigação interna apurou que alguns responsáveis pelos tweets originais apagaram as respetivas contas. “Todas as contas estão seguras, o serviço é seguro, nunca foi comprometido, e não guarda palavras-passe para outros sites”, assegurou a aplicação.

DECO aponta falhas na privacidade

A DECO fez um teste de segurança e privacidade à Houseparty, cujos resultados levaram a não recomendar a instalação da aplicação, que “recolhe uma grande quantidade de informações pessoais”. “No registo, recolhe nome de utilizador, e-mail e password. Mas também recolhe som, imagem e localização. Além destes dados, na sua política de privacidade, a empresa informa que recolhe outras informações pessoais, como identificadores únicos, contactos ou números de telemóvel. Mas garante que nunca serão partilhados com terceiros”. E é aqui que a porca torce o rabo, segundo a associação de defesa do consumidor.

“Testámos a app e podemos confirmar que há partilha de informação pessoal com uma longa lista de empresas terceiras como o Facebook, a Google e empresas de publicidade. Entre os dados que são partilhados encontram-se o e-mail e o nome de utilizador”, informa a DECO em comunicado, acrescentando que “o mais preocupante” é “o envio da lista de aplicações instaladas no dispositivo” durante o processo de registo. “Não vemos razão para este tipo de informação ser recolhida. Também não encontramos referência explícita à recolha desta informação na política de privacidade da empresa.”

Segundo a nota, a lista de contactos do utilizador também é recolhida, mas, neste caso, este tem de permitir explicitamente o acesso à mesma.

“Deveria haver um nível superior de segurança”

Além da privacidade, a associação portuguesa também analisou a segurança, considerando que, embora não haja nenhuma “falha crítica”, “deveria haver um nível superior de segurança no registo”.

“Os dados são enviados através de uma ligação segura (https), mas a password deveria também ser encriptada antes de ser enviada para que, mesmo que consiga intercetar a comunicação, o atacante não consiga desencriptar a palavra-passe. Aplicar uma técnica de fixação do certificado é outra prática que deveriam usar para impossibilitar ataques ‘man-in-the-middle’ (quando os dados trocados entre duas partes são intercetados por um atacante)”, pode ler-se.

Os resultados da análise da DECO foram comunicados à empresa responsável pelo desenvolvimento da Houseparty, aguardando-se resposta.

JN