Ontem, diversos veículos de comunicação anunciaram que já é possível baixar o aplicativo “CNH Digital”. O aplicativo, que ainda está em fase de testes, pode ser instalado por meio de uma APK no Android a partir de um procedimento sugerido pelo governo federal

No entanto, o sistema enfrenta falhas de segurança que tornam arriscado e não-recomendável tentar acessá-lo. Abaixo, explicamos por que você não deve tentar instalar o aplicativo “CNH Digital” por enquanto:

1. O aplicativo não está na loja oficial do Google

O aplicativo da CNH Digital ainda não está na loja oficial do Google. A Serpro orienta os usuários que quiserem instalá-lo a permitir que seu celular aceite a instalação de apps de outras fontes além da loja oficial. Em seguida, é necessário baixar o arquivo APK pelo celular e, finalmente, iniciar o processo de instalação.

Isso é problemático por dois motivos. Primeiramente, porque permitir a instalação de apps de fontes desconhecidas é uma das medidas mais arriscadas que um usuário pode fazer. A maioria das empresas de segurança digital recomenda que os usuários só instalem apps da Play Store como uma das medidas mais simples para evitar infecções.

Os aplicativos hospedados na loja oficial do Google são constantemente escaneados pelo sistema de segurança digital da empresa, chamado de Google Protect. Por isso, existe uma garantia de que eles não contêm código malicioso. No caso de apps instalados de outras fontes – como o site da Serpro – não existe qualquer garantia desse tipo. A única garantia seria a própria Serpro, mas se o site do serviço sequer corresponde às medidas básicas de segurança dos navegadores, é difícil confiar nele.

Essa medida faria sentido se, por algum motivo, a Serpro não tivesse acesso à loja de apps do Google. Mas esse não é o caso. O serviço já tem uma conta de desenvolvedor na Play Store, e já publicou até mesmo outros aplicativos. Qualquer app que siga as políticas de desenvolvedor do Google pode ser publicado na loja, então a Serpro poderia muito bem ter publicado o app da CNH Digital na loja oficial da empresa – mesmo que se tratasse de uma versão de demonstração fechada ou restrita a poucas pessoas.

Não está claro, no entanto, por que a empresa optou por publicar o aplicativo por outro meio. De qualquer maneira, não é recomendável de maneira alguma instalar um aplicativo de fora da Play Store, ainda mais vindo de um site que não corresponde às exigências básicas de segurança dos navegadores mais populares do mercado.

2. Site da Serpro não recomendado 

As instruções para a instalação do sistema estão hospedadas em uma página da Serpro (Serviço Federal de Processamento de Dados) e o certificado de segurança da página não é reconhecido pelos navegadores Chrome, Opera ou Edge. Abaixo, é possível ver as mensagens que os três navegadores mostram quando o acesso ao site é tentado a partir de cada um deles:

Reprodução

Reprodução

Reprodução

Reprodução

Os navegadores têm uma série de exigências de segurança sobre os sites que você tenta visitar. E o site da Serpro não corresponde a essas exigências, provavelmente por ser governamental. Como explica Cassius Puodzius, pesquisador de segurança da Eset, o protocolo HTTPS obriga os sites a apresentarem um certificado de segurança fornecido por uma empresa confiável. O caso é que o site da Serpro não fornece um certificado reconhecido pela maioria dos browsers.

Se o usuário quiser ir em frente, precisará desativar algumas das medidas de segurança de seu navegador. Pode ser que o site da Serpro não tenha falha de segurança, no final das contas. Mas, para acessá-lo, o usuário precisará deixar seu computador vulnerável a uma série de outras ameaças virtuais, o que é suficiente para não recomendar a instalação.

3. Não serve para nada

Tudo isso até poderia ser ignorado se o aplicativo fosse excepcionalmente importante ou útil. Mas, por enquanto, esse não é o caso. O aplicativo sequer pode ser usado com os seus dados; ele existe apenas em um formato demonstrativo e experimental, para que os usuários possam ter uma ideia de como ele vai funcionar quando for lançado eventualmente.

Isso não justifica, de maneira alguma, os riscos de segurança que um usuário precisaria assumir para poder ter o aplicativo em seu celular. Uma versão definitiva do app deverá estar disponível até fevereiro de 2018, a partir de quando o documento digital passará a ter a mesma validade do documento físico.

4. São dados sensíveis

Por enquanto, ao que parece, o app ainda não capta os dados do usuário para criar a CNH dele. Mas a ideia de que esses dados poderão eventualmente ser inseridos em um sistema tão vulnerável é preocupante. Informações como nome completo, número do CPF e número do registro da CNH são extremamente privadas, e o acesso indevido a elas poderia gerar um grande número de fraudes e golpes. Se essas informações não estiverem bem seguras, o risco é imenso.

Mesmo que por enquanto o app não exija essas informações, o fato de que ele ainda não está na Play Store torna-o inseguro. Se o aplicativo da Play Store for infectado; o Google percebe. Mas não há qualquer garantia de que a Serpro faça um monitoramento para garantir que o app que eles hospedam está completamente seguro. Por esses motivos, é melhor passar longe do aplicativo por enquanto.

Questionada pelo Olhar Digital, a Serpro diz que “a proposta dessa versão é apenas proporcionar ao usuário uma familiaridade maior com a interface da solução antes de seu lançamento”. A empresa justifica que o app não está na Play Store por tratar-se de uma versão beta – embora isso não configure um impedimento à inclusão do aplicativo lá. Segundo a Serpro, a CNH Digital começa a valer oficialmente no dia 30 de setembro para moradores de Goiás e em fevereiro de 2018 para os demais brasileiros.