Notícias sobre privacidade

Sanchar Saathi & Max - Como a Índia e a Rússia estão a ativar a vigilância para todos

Apenas três meses depois de a Rússia ter forçado a introdução da aplicação Max, a Índia está agora a obrigar os fabricantes de smartphones a fornecer todos os seus telefones com a aplicação estatal Sanchar Saathi. Embora disfarçadas de "aplicações de segurança", estas instalações forçadas de aplicações podem ser facilmente utilizadas para vigilância em massa.

Tweet about Indian mandate to preinstall Sanchar Saathi on all phones.

Nos últimos meses, dois dos maiores países do mundo - a Índia e a Rússia - ordenaram que as aplicações de comunicação controladas pelo Estado sejam pré-instaladas nos smartphones vendidos nesses países. A Índia acaba de ordenar que a aplicação Sanchar Saathi seja pré-instalada em todos os novos telemóveis e disponibilizada nos mais antigos através de uma atualização; uma aplicação cujas "funcionalidades não podem ser desactivadas ou restringidas". E a Rússia emitiu uma ordem semelhante em agosto, exigindo que a aplicação estatal de comunicações Max fosse pré-instalada em todos os smartphones e tablets vendidos no país.

Estas aplicações de comunicação apresentam-se como alternativas “soberanas” ao WhatsApp - mas, por uma questão de privacidade, nós, na Tuta, recomendamos vivamente estas alternativas - quando, na realidade, as aplicações controladas pelo Estado abrem a porta a uma vigilância em massa ilimitada e transformam todos os telemóveis destes países em pequenas máquinas de vigilância - sem sequer necessitarem de uma porta traseira para a encriptação.

Turn ON Privacy in one click.

Ferramentas de vigilância disfarçadas de “aplicações de segurança”

App-Berechtigungen der Sanchar Saathi-App. App-Berechtigungen der Sanchar Saathi-App. Permissões da aplicação Sanchar Saathi. Captura de ecrã: Reddit.

A Sanchar Saathi foi anunciada esta semana pelo governo indiano como uma aplicação que tem de vir pré-instalada e que não pode ser “desactivada ou restringida”. Supostamente, a aplicação ajuda a combater o roubo e a perda de smartphones. Publicada pela primeira vez em janeiro de 2025, a aplicação indiana permite aos utilizadores verificar o IMEI do seu dispositivo, comunicar a perda ou o roubo de um telemóvel e assinalar mensagens que considerem fraudulentas. De acordo com fontes oficiais, a aplicação ajudou a detetar ou bloquear mais de 4,2 milhões de telemóveis perdidos ou roubados desde o seu lançamento - num mercado de mais de mil milhões de telemóveis.

A Identidade Internacional de Equipamento Móvel (IMEI) é um código de 15 dígitos que identifica exclusivamente um dispositivo móvel e o autentica numa rede celular. O governo indiano afirma que uma das razões para o lançamento da aplicação é o facto de pretender reprimir os smartphones com números IMEI duplicados ou falsificados, uma vez que estes representam um “sério perigo” para a cibersegurança.

A Índia tem um grande mercado de dispositivos móveis em segunda mão. Também foram observados casos em que aparelhos roubados ou colocados na lista negra estão a ser revendidos”, diz o comunicado do governo.

Uma história semelhante teve lugar três meses antes na Rússia. O governo russo publicou uma política semelhante em relação à MAX, uma nova aplicação de mensagens desenvolvida pela empresa estatal VK. A partir de 1 de setembro de 2025, todos os smartphones e tablets vendidos na Rússia devem vir com o MAX pré-instalado.

Mas a Max não é apenas uma simples aplicação de mensagens. À semelhança do WeChat da China, é suposto tornar-se uma “super-aplicação” que combina conversação e mensagens, pagamentos, identidades digitais e acesso a serviços governamentais.

Mas, à superfície, os especialistas em segurança e privacidade argumentam que ambas as aplicações - Sanchar Saathi e Max - foram concebidas para vigilância em massa. Ambas as aplicações não dispõem de encriptação forte de ponta a ponta e podem ser facilmente utilizadas para vigilância.

A Sanchaar Saathi tem um conjunto de permissões incrivelmente alargado: A aplicação indiana pode fazer e gerir chamadas telefónicas, enviar mensagens de conversação, aceder a registos de chamadas e mensagens e aceder a fotografias, ficheiros e à câmara do telemóvel.

E os defensores da privacidade descreveram a aplicação Max como fazendo parte da cortina de ferro digital russa: O objetivo é substituir as aplicações de conversação encriptadas estrangeiras pela Max - desenvolvida e controlada pela VKontake, uma empresa com uma linha direta com o Kremlin.

A Apple não vai cumprir

A nova regra indiana obriga os fabricantes de smartphones (Apple, Samsung, Xiaomi, Oppo, Vivo e outros) a pré-instalar a aplicação de forma a que esta seja “facilmente visível e acessível” aos utilizadores quando estes configuram os seus telefones; as funcionalidades da aplicação não devem ser desactivadas ou restringidas. Além disso, os fabricantes de telefones devem “envidar esforços” para instalar a aplicação nos telefones mais antigos através de actualizações de software. As empresas foram convidadas a enviar um relatório de conformidade no prazo de 120 dias.

Embora outros fabricantes de smartphones ainda não tenham comentado o assunto, a Apple já disse que não cumprirá a ordem de pré-instalar esta aplicação estatal nos iPhones.

Como poderia funcionar a espionagem através destas aplicações governamentais

Sanchar Saathi e Max são aplicações de código fechado, e ninguém pode ver o que estas aplicações fazem exatamente - e é exatamente por isso que estas aplicações são tão perigosas.

Mas primeiro as coisas mais importantes: As aplicações encriptadas de ponta a ponta, como o Signal e o Tuta Mail, permanecerão seguras, uma vez que estas aplicações estatais não são capazes de quebrar a encriptação. Portanto, se você estiver na Índia, mude para alternativas privadas e criptografadas agora, possivelmente da Europa, uma região com algumas das melhores leis de proteção de dados, ou seja, o GDPR.

No entanto, a má notícia é que: Uma aplicação deste tipo não precisa de quebrar a encriptação para saber muito sobre si. Pode ser profundamente integrada no seu dispositivo e aprender muito com os metadados. A aplicação estatal pode obter informações sobre a atividade do dispositivo, informações de contacto, movimentos e padrões de comunicação. Mesmo sem aceder a conteúdos encriptados, pode ver com quem fala, quando e durante quanto tempo; onde estava nesse momento; e que aplicações utiliza regularmente. Estes metadados revelam muitas vezes tanto como o conteúdo das mensagens, porque expõem as suas redes sociais, hábitos e localizações físicas.

Dado que as possibilidades de o monitorizar parecem ser infinitas, é agora ainda mais importante que comece a utilizar aplicações de conversação e correio eletrónico seguras e encriptadas, como o Signal e o Tuta Mail.

Turn ON Privacy in one click.

Reflexão final

2025 é um ano difícil para o direito à privacidade em todo o mundo. Embora a UE tenha finalmente adotado uma versão do Chat Control sem quebrar a encriptação de ponta a ponta, devido à forte reação do público, a Rússia e a Índia parecem seguir o caminho da China: Mais vigilância, mais controlo. Ao incorporarem as suas aplicações controladas pelo Estado diretamente nos dispositivos que os cidadãos utilizam diariamente, criam as ferramentas perfeitas para monitorizar todos os passos dos seus próprios cidadãos.

Para nós, na Tuta, isto é muito alarmante: Temos de nos certificar de que os nossos dispositivos nos pertencem - não à Big Tech (como no caso em que a Google está a tentar limitar as aplicações que podemos instalar, e a Apple continua a não nos deixar instalar as aplicações da nossa escolha) e não ao governo que quer forçar aplicações de vigilância estatais nos telefones dos utilizadores.

Juntos, temos de continuar a lutar pelo nosso direito à privacidade!

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.