A EMEL contratou uma empresa para actualizar a aplicação da GIRA e respectiva infraestrutura, com dois objectivos: por um lado, resolver aqueles problemas de que os utilizadores tanto se queixam; por outro, bloquear a utilização do serviço GIRA por parte de terceiros, nomeadamente por apps alternativas.
A EMEL vai fazer uma actualização significativa à aplicação da GIRA para resolver as instabilidades de que os utilizadores tanto se queixam, e tornar o serviço mais confiável. A tarefa foi encomendada ao braço português de uma tecnológica francesa, a Devoteam, através de um ajuste directo de cerca de 19,1 mil euros e terá impacto nas aplicações alternativas que alguns jovens criaram.
De acordo com o caderno de encargos, a EMEL pretende fazer um “upgrade” à aplicação que visa “analisar e corrigir eventuais falhas de segurança” tanto na versão iOS como na Android, e também “nas APIs de backend” que suportam as duas versões. Procura-se “avaliar a solução actual e considerar a mitigação imediata” da mesma para uma nova “arquitectura protegida”, que preserve a aplicação oficial e as suas funcionalidades “e garanta a estabilidade e experiência de utilizador”.
Uma solução de curto prazo
Numa apresentação interna da Devoteam, é detalhada esta “solução de curto prazo”, que estará já a ser desenvolvida para ser lançada em breve. Nesse documento, é explicado que a actual app da GIRA foi desenvolvida por um antigo fornecedor [a Tekever], que já não presta suporte técnico, e que “os utilizadores têm reportado problemas, queixando-se da experiência”. Um desses utilizadores, Afonso, de 19 anos, chegou mesmo a desenvolver no final do ano passado uma app alternativa, a mGIRA, com algum sucesso. E inspirados pela mGIRA, outros dois jovens lançaram, meses depois, a GIRA+. Segundo a mesma apresentação, estas duas apps exploram “um conjunto não autorizado de recursos da EMEL”, e a empresa municipal quer agora trancar esses recursos atrás de uma arquitectura protegida – o que basicamente deixará a mGIRA e a GIRA+ sem acesso às funcionalidades da aplicação oficial, e desencorajará o lançamento de outras aplicações de terceiros.
O LPP questionou a EMEL sobre os problemas sentidos pelos utilizadores da GIRA na utilização da app oficial, sobre a contratação da Devoteam e a solução por esta encontrada, e sobre a opção de não apoiar as plataformas alternativas desenvolvidas pelos jovens utilizadores. Mas a resposta da empresa municipal foi genérica. A EMEL disse apenas que o “reconhecimento generalizado” por parte dos utilizadores da GIRA “acrescenta responsabilidade à EMEL (…) para que se efectuem melhorias e upgrades constantes aos sistemas tecnológicos”. “Com o intuito de melhorar as experiências vividas pelos utilizadores, a EMEL tem vindo a implementar medidas com vista a estabilizar e solucionar os condicionamentos identificados”, nomeadamente através deste contrato de prestação de serviços.
A empresa explicou ao LPP, na mesma resposta, que “mantém o plano de desenvolvimento para a nova aplicação” como previsto “juntando a GIRA, o ePark e outros serviços de mobilidade da EMEL”, tratando-se desta migração de uma solução temporária para solucionar os tais problemas correntes. Sobre esta aplicação futura, não foram adiantados prazos.
Certo é que a EMEL quererá salvaguardar, nesta fase, a segurança e privacidade dos utilizadores da GIRA, evitando, por exemplo, o surgimento de aplicações mal intencionadas, que monetizem os seus utilizadores ou furtem os seus dados pessoais. A EMEL não quereria, em primeira instância, que as funcionalidades da app oficial da GIRA estivessem acessíveis a terceiros, permitindo o surgimento de alternativas como a GIRA+ ou mGIRA – esses recursos foram uma janela que terá ficado aberta quando a Tekever desenvolveu a aplicação das bicicletas partilhadas.
Embora a protecção da arquitectura da aplicação da GIRA pareça ser o principal motivo para a contratação da Devoteam, não será a única atualização a ser realizada. A equipa de programadores também tratará dos problemas recorrentes da app, que têm sido objecto de queixas frequentes por parte dos utilizadores por causarem frustrações durante a utilização do serviço. Estes problemas incluem situações em que a aplicação bloqueia ou efectua logout das contas dos utilizadores. Paralelamente, a Devoteam também promete aprimorar a usabilidade e o design da aplicação, visando melhorar a experiência de quem pedala nas bicicletas partilhadas de Lisboa.
Associação critica ofuscação de código
De qualquer das formas, a presente actualização à aplicação GIRA gerou alguma discussão nas redes sociais e na comunicação social, depois de ter sido publicada no portal Base.gov toda a documentação do processo de contratação da Devoteam; não só foi publicado o contrato, como alguns documentos mais detalhados, o que permitiu o surgimento de uma discussão mais sólida e substancial – afinal de contas, trata-se de dinheiro público, e a transparência neste campo é fundamental.
Quem também participou nessa discussão pública foi ANSOL – Associação Nacional para o Software Livre. Num comunicado divulgado no seu site, esta associação de promoção de soluções informáticas livres mostra-se preocupada com o upgrade que a EMEL vai fazer à aplicação da GIRA, explicando que as medidas propostas “não trazem benefícios de segurança para os utilizadores do serviço, e têm como único objectivo impedir que os utilizadores estudem o comportamento das aplicações que estão instaladas nos seus próprios dispositivos, o que vai contra o que a ANSOL tem defendido e considera boas prácticas”. Dizem que “software desenvolvido com dinheiro público, como é o caso do software desenvolvido pela EMEL, deve ser ele próprio público, com licenças livres”.
Em concreto, a ANSOL critica a ofuscação de código na aplicação, referindo que “vai contra a liberdade de estudarmos o software que corre nos nossos próprios dispositivos, e não traz benefícios de segurança para o utilizador, apenas escondendo quaisquer falhas de segurança que a aplicação possa ter”. Critica também a utilização de uma camada de segurança conhecida como SSL Pinning, explicando que esta “serve principalmente para impedir os utilizadores de inspeccionarem as comunicações que a aplicação faz com os servidores”, e ainda a implementação de um sistema de validação de app genuína, “que impede a utilização da aplicação em telemóveis que tenham root, em telemóveis cujos utilizadores não queiram usar os serviços da loja da Google ou da Apple, ou em aparelhos com sistemas operativos que a EMEL não suporte explicitamente”.
Além disso, ANSOL nota ainda que, no caderno de encargos da EMEL, esta “menciona duas categorias de actualizações: melhorias à experiência de utilização, e medidas de segurança. Já a proposta apresentada pela empresa contratada apenas se foca nas medidas de segurança, tendo as melhorias à experiência de utilização sido deixadas para uma fase posterior”. E conclui: “Esta ordem de prioridades fará com que os utilizadores das bicicletas sejam prejudicados: não vêem a aplicação oficial melhorada, e passam a ser impedidos de utilizar as alternativas.” A Associação Nacional para o Software Livre não tem dúvidas de que o foco da actualidade “aparenta estar no bloqueio da utilização legítima do serviço GIRA e não na melhoria da experiência e usabilidade” do mesmo.