No seguimento da notícia publicada hoje no Expresso Online com o título “Aplicação Passe Covid permite validar certificados que ainda não estão em vigor”, a Imprensa Nacional Casa da Moeda (INCM) esclarece, em comunicado que, “a aplicação móvel de leitura do Certificado Digital Covid da UE “Passe COVID” utiliza a data e a hora de sistema para realizar as devidas validações”.
“O objectivo da aplicação é permitir que as entidades que precisem de validar os certificados digitais COVID da União Europeia, em vigor desde 1 de Julho, possam fazê-lo, de forma digital e mais rápida, tendo assim uma aplicação vasta e sempre associada às medidas definidas de combate à pandemia resultante da Covid-19”.
Como continua, “dada a crescente utilização, tornou-se indispensável que a aplicação pudesse realizar a validação dos certificados em modo offline uma vez que este modo garante uma maior rapidez e uma melhor performance numa acção repectitiva de validações, dispensando o acesso à internet”.
O Certificado Digital Covid da UE inclui um código QR “com os dados necessários, bem como uma assinatura digital que impede falsificações e que não permite alterações ao mesmo”.
Como indica, “o desenvolvimento da aplicação assume que o utilizador é responsável pelas boas-práticas na utilização da mesma. Ao instalar e/ou utilizar a aplicação num dispositivo móvel, considera-se que os seus utilizadores leram, aceitaram e concordaram em cumprir, sem reservas, os Termos e Condições na sua totalidade, bem como a Política de Privacidade, onde se pode ler que é da responsabilidade do utilizador a não utilização da “aplicação para fins fraudulentos e lucrativos”.
Segundo aponta, empresa a aplicação “não possa controlar as acções do seu utilizado”, INCM “tem regulamente procurado minimizar os riscos de má utilização”. Para tal tem realizado “actualizações para melhorar funcionalidades da aplicação”.
Em breve serão lançadas duas evoluções:
a) obrigação de se ligar a internet com uma frequência mínima adequada à actualização dos certificados criptográficos de validação dos países e das regras da DGS, sendo que a sua ausência impede a utilização da aplicação.
b) implementação de um mecanismo que restringe a diferença entre a hora do telemóvel e a hora actual, quando este se encontra online.
Coo justifica, “a questão suscitada na notícia referida diz respeito unicamente à verificação do decurso dos 14 dias após a vacinação completa, que será enquadrada através destas atualizações da app, não estando nunca posta em causa a verificação da existência de vacinação completa”. Ou seja, “os certificados de quem não tem vacinação completa ou de quem só tem uma dose das vacinas que requerem duas são sempre invalidados”.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
