App do governo, ‘Fedware’: realiza vigilância ainda mais poderosa do que apps proibidos

• Apps oficiais do governo federal dos EUA exigem mais permissões e recursos de rastreamento do que apps privados, coletando localização, biometria e identificadores do dispositivo
• Apps de órgãos importantes como White House, FBI, IRS, TSA, CBP e ICE se apresentam como serviços públicos, mas na prática formam uma rede de vigilância por meio de SDKs de rastreamento e estruturas de compartilhamento de dados
• Alguns apps incluem até rastreador da Huawei, função de denúncia ao ICE e sistemas de reconhecimento facial, e centenas de milhões de imagens faciais e dados de localização são compartilhados entre agências do governo
• Casos como o compartilhamento de dados fiscais entre IRS e ICE levaram à renúncia de responsáveis por privacidade e a ordens judiciais de proibição, mas a infraestrutura de vigilância continua operando
• O governo empacota informações que poderiam ser oferecidas pela web em formato de app para exigir permissões excessivas dentro de uma estrutura de “Fedware”, enquanto os usuários seguem tendo a liberdade de acessar via web e RSS sem instalar apps

Estrutura de vigilância dos apps do governo federal

• Apps oficiais do governo federal exigem mais recursos de rastreamento e permissões do que apps privados, coletando localização, biometria, armazenamento, contatos e identificadores do dispositivo
• Apps de órgãos importantes como White House, FBI, FEMA, IRS, TSA, CBP e ICE são distribuídos sob o pretexto de fornecer informação pública, mas na prática abastecem uma rede de vigilância com dados por meio de pedidos excessivos de permissão e SDKs de rastreamento embutidos
• Esses apps são chamados de “Fedware”, e a infraestrutura de vigilância do governo opera como um único sistema por meio de apps, corretores de dados e compartilhamento de dados entre agências

• Recursos de rastreamento do app da White House

  • O app da White House (versão 47.0.1) afirma oferecer “acessibilidade ao Poder Executivo”, mas exige várias permissões, como localização GPS precisa, acesso a digitais, modificação de armazenamento, execução automática na inicialização, exibição sobre outros apps, visualização de conexões Wi‑Fi e leitura de notificações com badge
  • Ele traz embutidos 3 SDKs rastreadores, incluindo o Huawei Mobile Services Core, caso em que a infraestrutura de rastreamento de uma empresa chinesa sancionada pelo governo dos EUA foi incluída no app presidencial oficial
  • O app inclui um botão de denúncia ao ICE, e o recurso “Text the President” preenche automaticamente a frase “Greatest President Ever!”, além de coletar nome e número de telefone do usuário
  • Não existe uma política de privacidade específica para o app; aplica-se apenas a política geral de whitehouse.gov, sem menção aos recursos de rastreamento

• Permissões e rastreadores nos apps do FBI, FEMA e IRS

  • O app myFBI Dashboard, do FBI, solicita 12 permissões e inclui 4 rastreadores, como o Google AdMob, coletando dados do usuário via SDKs de publicidade
  • O app da FEMA exige 28 permissões e, na versão mais recente (v3.0.14), mantém apenas 1 rastreador, mas continua usando permissões excessivas
    • Seus principais recursos se limitam a alertas de desastre e informação sobre localização de abrigos
  • O app IRS2Go inclui 3 rastreadores e 10 permissões e foi lançado sem a Privacy Impact Assessment concluída, em violação das regras do OMB
    • Ele compartilha com terceiros o ID do dispositivo, atividade no app e logs de falha, e nem sequer foi confirmado se as informações de restituição são criptografadas

Coleta de biometria e expansão da vigilância

• Coleta de biometria em apps ligados a CBP, TSA e ICE

  • O app MyTSA inclui 9 permissões e 1 rastreador e declara armazenar localmente os dados de localização
  • O app CBP Mobile Passport Control solicita 14 permissões (7 classificadas como “arriscadas”), incluindo rastreamento de localização em segundo plano, câmera, autenticação biométrica e acesso ao armazenamento externo
    • O sistema biométrico da CBP retém dados faciais (faceprint) por até 75 anos e os compartilha com DHS, ICE e FBI
  • O app Mobile Fortify é um app de reconhecimento facial usado por agentes do ICE e utiliza centenas de milhões de imagens de bancos de dados do DHS, FBI e Departamento de Estado
    • Foi firmado um contrato de US$ 9,2 milhões com a Clearview AI para garantir acesso a mais de 50 bilhões de imagens faciais
    • A CBP afirma reter todas as fotos, inclusive de cidadãos dos EUA, por 15 anos
    • Segundo investigação da EFF, os usuários não podem recusar a varredura por reconhecimento facial, e o simples matching biométrico pode ser suficiente para determinar status migratório

• SmartLINK do ICE e uso de corretores de dados

  • O app SmartLINK é uma ferramenta de vigilância eletrônica do ICE, desenvolvida pela BI Incorporated, subsidiária da GEO Group, sob um contrato de US$ 2,2 bilhões
    • Coleta localização, rosto, voz, informações médicas (incluindo gravidez) e números de contato
    • O ICE tem o direito de “usar, dispor e divulgar” os dados coletados sem restrições
    • O número de usuários saltou de 6 mil em 2019 para mais de 230 mil em 2022
    • Em 2019, dados de GPS foram usados para prender cerca de 700 pessoas em 6 cidades
  • Além dos apps, órgãos do governo compram de corretores de dados como a Venntel mais de 25 bilhões de pontos de localização por dia
    • DHS, FBI, DOD e DEA compram dados sem mandado judicial
    • O Departamento de Defesa usou dados de localização de apps de oração para vigiar comunidades muçulmanas
    • A polícia também os utilizou para rastrear participantes de protestos por justiça racial

Caso de compartilhamento de dados entre IRS e ICE

• Em abril de 2025, IRS e ICE firmaram um MOU para compartilhar nomes, endereços e dados fiscais de pessoas sujeitas à deportação
  • O ICE enviou 1,28 milhão de nomes, e o IRS transmitiu por engano milhares de registros fiscais incorretos
  • O comissário interino do IRS e o responsável por privacidade renunciaram em protesto
  • Em novembro de 2025, um tribunal federal proibiu novos compartilhamentos, mas o IRS já estava construindo um sistema automatizado de fornecimento em massa de endereços

Infraestrutura integrada de vigilância e ausência de supervisão

• Apps, bases de dados e contratos com corretores de cada agência estão ligados em um pipeline único de vigilância, sem que nenhuma agência controle o todo
• Segundo o relatório de 2023 do GAO, cerca de 60% das 236 recomendações de privacidade e segurança emitidas desde 2010 continuam sem implementação
• O Congresso foi aconselhado em 2013 e 2019 a aprovar uma lei abrangente de privacidade na internet, mas não o fez
• A supervisão é apenas um procedimento formal, e mesmo após relatórios e audiências, os contratos são renovados e a coleta de dados continua

Conclusão: liberdade de acessar pela web, e não por apps

• O governo empacota em formato de app informações públicas que poderiam ser oferecidas pela web e por RSS para exigir permissões excessivas
• Apps executam funções de vigilância que páginas web não conseguem realizar — leitura de digitais, rastreamento de GPS em segundo plano e acesso à lista de contas
• Os usuários podem acessar as mesmas informações apenas com navegador e leitor de RSS, sem precisar instalar apps do governo
• “Fedware” é uma ferramenta de vigilância disfarçada de serviço público, e cabe ao usuário decidir o que pode ser executado em seu dispositivo