O novo Speedtest da NOS é uma aplicação que devassa a vida privada dos utilizadores, tenta encontrar aplicações específicas a correr e não usa HTTPS para comunicação segura de dados. Além disto, é considerada como vírus.

 

A NOS, empresa de referência no sector das telecomunicações fixas e móveis, encontra-se a distribuir vírus aos vários utilizadores que, todos os dias, utilizam o Speedtest da NOS para despistar problemas de velocidade.

A situação foi reportada no blog “Blol”, que analisou exaustivamente de forma técnica a nova ferramenta, testes esses confirmados pelo Tugaleaks. No referido blog podes consultar toda a informação técnica deste caso.

 

Como é que recebo estes vírus?

Para efetuares o teste de velocidade, tens que ir ao site speedtest.nos.pt e aceitar os termos. Após a aceitação, obténs um ficheiro .exe que tens que correr no Windows. Mas se fores pegar nesse ficheiro e o colocares no VirusTotal, um site que usa mais de 60 antivírus para efetuar um scan a um ficheiro, verás que o mesmo contém um Trojan. Antivirus como o Panda e o Kaspersky acusam o ficheiro malicioso. Ao que tudo indica, o Windows Defneder também bloqueia o download.

Aqui fica um vídeo com a reprodução do que explicámos antes:

Mas não é tudo

O problema não é novo, mas quem utilizar um sistema que não seja Windows, não tem “direito” a reclamar por velocidades lentas, já que a NOS “não dá suporte” a este tipo de sistemas operativos, informou um operador do callcenter da empresa.

Rui Seabra, antigo presidente da ANSOL, afirma que “como utilizador de software livre sinto-me injustiçado pelo meu operador ao dividir os clientes em clientes de 1ª e os que não merecem reclamar de eventual má velocidade por não poderem correr um teste em que a NOS confie para avaliar a velocidade”.

Falta de privacidade é óbvia

De acordo com o “Blol”, o Teste de Velocidade da NOS faz downloads por HTTP (e não HTTPS, que é mais seguro) e transmite resultados igualmente por HTTP, podendo os dados ser intercetados por pessoas mal intencionadas.

Ainda sobre os dados recolhidos, estes categorizam-se como dados pessoais, já que obtém informações da máquina, aplicações que estão a correr ou instaladas, IMEI no caso do uso de uma Placa 3G ou 4G, entre outros. E, como informámos anteriormente, os dados são transmitidos de forma insegura para a NOS.

Programas dentro de programas

O executável inicial do qual fazes download efetua o download de outros executáveis, motivo pelo qual alguns antivírus o bloqueiam. O blog “Blol” apelidou esta de uma técnica “shady”, já que esta não é a forma correta de distribuir software, colocando em risco milhares de utilizadores que, ao fazerem o download, expõem os seus dados sem serem avisados que por sua vez são partilhados com a NOS sem qualquer segurança.

Ana Barroso, vice-presidente da Associação D3 – Defesa dos Direitos Digitais,  explica que “parece-me bastante inadequado, pois não só põe em risco a segurança do dispositivo que a executa como também desrespeita o utilizador, escondendo deste a recolha de dados pessoais, a qual executa também de forma negligente”. Afirma ainda que “não se entende por que razão a NOS dá um passo atrás quanto à protecção da privacidade dos seus utilizadores justamente agora, quase no fim do período de transição do Regulamento 2016/679 da UE (Regulamento Geral sobre a Proteção de Dados). Este entra em vigor definitivamente em Abril de 2018, e declara que entidades que processam dados pessoais de utilizadores têm de explicar em linguagem clara que dados são usados e para que efeito, e também que têm de obter o consentimento explícito do utilizador para tal”.

O Tugaleaks tentou contactar a NOS por e-mail e telefone, sem sucesso.