Privacidade

Criptografia de ponta a ponta no iCloud vem aí — e é algo grande

3

Em agosto de 2021, a Apple anunciou um plano em que passaria a analisar fotos marcadas para serem enviadas ao iCloud em busca de imagens ilegais, de abusos sexuais contra crianças, nos dispositivos (iPhones, iPads e Macs) dos usuários.

A notícia caiu como uma bomba nos círculos que debatem a privacidade digital. Embora tivesse fim nobre, a iniciativa foi duramente criticada: naquela situação, o fim talvez justificasse a bisbilhotagem das fotos dos usuários, mas e quando esse fim fosse… menos nobre? E se um governo autoritário exigisse que a Apple identificasse manifestantes?

(mais…)

2

A Apple anunciou três novos ótimos recursos de segurança/privacidade para o iCloud, incluindo a “Proteção Avançada de Dados” que, ao ser ativada, expande a criptografia de ponta a ponta para quase tudo salvo na nuvem da empresa — backups do iOS, fotos, notas e tudo mais; só ficam de fora e-mail, agenda de compromissos e contatos, por usarem protocolos abertos incompatíveis com a criptografia de ponta a ponta.

Isso significa que em contas com a Proteção Avançada de Dados ativada, nem mesmo a Apple poderá acessar os dados armazenados em seus servidores.

Por isso, o recurso é “opt-in”, ou seja, desativado por padrão: ao ativá-lo, o suporte da Apple perde a capacidade de “resetar a senha” em caso de esquecimento.

Outra novidade legal é o suporte a chaves de segurança físicas, como as YubiKeys. O comunicado à imprensa deixa subentendido que isso permitirá desativar o número de telefone como segundo fator de autenticação.

A terceira novidade é uma verificação de contatos para o iMessage, o tipo de coisa que só é importante nos Estados Unidos, onde o aplicativo é usado.

Todos os três recursos serão disponibilizados no mundo inteiro no início de 2023. Via Apple (em inglês).

2

Morreu neste domingo (4) o advogado e especialista em proteção de dados Danilo Doneda. Ele tinha 52 anos e deixa esposa e três filhos. Segundo a Folha de S.Paulo, Danilo lutava contra um câncer no intestino há três meses.

Doutor em Direito pela Universidade Estadual do Rio de Janeiro (UERJ), Danilo fez parte do seu doutorado na Itália, onde trabalhou ao lado de Stefano Rodotà, na Autoridade de Proteção de Dados do país europeu.

No Brasil, envolveu-se em projetos-chaves da área, como a aprovação do Marco Civil da Internet, em 2014, da Legislação Geral de Proteção de Dados Pessoais (LGPD) e, mais recentemente, da proposta de substitutivo para a regulação da inteligência artificial no Brasil.

Lecionou em diversas universidades e, sempre solícito, aparecia com frequência na imprensa compartilhando seu conhecimento e opiniões acerca da privacidade de dados. A este Manual, falou numa pauta sobre “cookie pools” em 2018. Via Folha de S.Paulo, Uol Tilt.

4

Defender a privacidade dos usuários é uma posição que vai além do discurso. É estrutural. Vide este caso do Telegram na Índia, onde o aplicativo entregou à Justiça os dados de administradores de canais suspeitos de pirataria — nomes, números de telefone e endereços IP. O processo foi movido por uma professora, Neetu Singh, que teve seus materiais de estudo, que ela vende, pirateados e revendidos em canais do Telegram.

O caso ilustra bem desafios e falhas de privacidade no modelo do Telegram, algo que Pavel Durov, CEO do Telegram, costuma ignorar quando argumenta que o Telegram seria o aplicativo de mensagens mais privado do mercado.

Quando a Justiça de um país faz uma demanda, a empresa detentora do aplicativo não pode se negar a cumprir a ordem. A única saída que ela tem para não atender à exigência é não possuir os dados pedidos.

Que é o que o Signal faz. Em duas ocasiões, a Justiça dos Estados Unidos solicitou dados de usuários do Signal. Em ambas, ficou sem porque o Signal não coleta dados dos usuários. Da última vez, em abril de 2021:

É impossível entregar dados a que nunca tivemos acesso. O Signal não tem acesso às suas mensagens; sua lista de conversas; seus grupos; seus contatos; suas figurinhas; seu nome ou avatar; nem mesmo aos GIFs que você pesquisa. Por isso, nossa resposta a essa intimação parecerá familiar. É o mesmo conjunto de “Informações da Conta e do Assinante” que entregamos em 2016 [no outro caso do tipo]: registro do dia e horário em formato Unix de quando cada conta foi criada e a data em que elas se conectaram pela última vez ao serviço do Signal.

Via TechCrunch (em inglês).

LGPD, LAI e o blecaute de transparência do Governo Bolsonaro

4

por Guilherme Felitti

Conta o mito que cerca de 750 antes de Cristo dois gêmeos foram abandonados pela mãe nas margens do rio Tibre, na Itália, após o pai mandar matá-los. Segue a lenda que aquele rio tinha um deus específico chamado Tiberino que salvou os gêmeos da morte e permitiu que, mais tarde, uma loba os encontrasse no meio do mato e os alimentassem. O leite da loba garantiu que Rômulo e Remo sobrevivessem até que um pastor os adotassem.

(mais…)

O acordo entre Serpro e DrumWave, startup que quer criar “carteira de dados pessoais” no Brasil

5

No dia 19 de novembro, o Painel da Folha de S.Paulo veiculou uma breve entrevista com André Vellozo, fundador da DrumWave, empresa com sede nos Estados Unidos que, segundo o texto, “desenvolveu uma plataforma que promete transformar os dados pessoais de qualquer pessoa em dinheiro” e está prestes a entrar no mercado brasileiro.

Chamou a atenção uma resposta de André em que ele afirma já ter assinado “um contrato com a Serpro, a maior empresa pública de tecnologia do mundo”.

A entrevista não se aprofunda no assunto, então entrei em contato com o Serpro para tentar entender os detalhes do contrato.

(mais…)

Deixe seu celular Android mais leve com o Universal Android Debloater

23

A liberdade que o Google oferece no Android é abusada por fabricantes: não é raro deparar-se com celulares que trazem aplicativos pré-instalados que não podem ser removidos, como o do Facebook.

Um caminho para livrar-se dos excessos (ou do “bloat”, no jargão do meio) é trocar o Android da fabricante por uma variante da comunidade, como o LineageOS ou o /e/OS. Funciona, mas pode ser algo complicado, depende de muitas variáveis e é, sem dúvida, intimidador para marinheiros de primeira viagem ou alguém que não queira se dar a esse trabalho.

Um meio termo que descobri recentemente é o Universal Android Debloater (UAD). Trata-se de um aplicativo, com interface gráfica, que permite desinstalar processos que rodam no seu celular Android.

(mais…)

Transformei minha casa em uma fortaleza de vigilância

12

Transformei minha casa em uma fortaleza de vigilância (em inglês), por Ian Bogost na The Atlantic:

Quando me mudei para uma nova casa ano passado, decidi testar essa hipótese. Já estava passando um monte de cabos de rede pelas paredes para os pontos de acesso Wi-Fi, daí aproveitei a oportunidade para passar tais cabos em absolutamente todos os lugares. Depois, coloquei um número absurdo de câmeras àquele cabeamento — 16, até onde contei —, transformando a minha casa em uma fortaleza de vigilância. (Conhecendo os problemas de privacidade e políticas de dados que surgem quando fornece-se vídeo às empresas de tecnologia via nuvem, armazeno todas as imagens localmente em um conjunto gigante de discos rígidos no meu porão; sou a única pessoa que podem acessá-los.)

Eis o que aprendi deste um ano de monitoramento doméstico extremo, 24 horas por dia, 7 dias por semana: nada acontece.

Nada.

Dica da Jacqueline Lafloufa. Obrigado!

1

Erga as mãos ao céu e agradeça: enfim, o WhatsApp liberou uma opção para esconder o status “Online”. A libertação do recurso está sendo gradual (ainda não apareceu no meu celular).

Quando estiver ativa aí, você a encontrará nas opções do WhatsApp, indo em Conta, Privacidade e Visto por último. A nova opção vincula o status “Online” à definição do Visto por último, ou seja, é preciso marcar esta como Ninguém para que ela surta efeito. Via Estadão.

Como acompanhar perfis no Twitter sem ter que criar uma conta no Twitter

10

Mesmo quem não tem conta no Twitter às vezes precisa ou gostaria de acompanhar perfis públicos lá. E embora o Twitter esteja dificultando cada vez mais essa prática, exigindo login até para mostrar perfis públicos, ainda existem algumas alternativas para fazer isso sem ter que baixar o aplicativo oficial e criar uma conta no Twitter.

Atualização (30/6/2023): Uma atualização do Twitter passou a bloquear acessos a perfis e posts da rede sem login. Com isso, todas as dicas abaixo ficam inutilizadas.

(mais…)

8

A Avast comprou, por um valor não divulgado, a extensão I don’t care about cookies, que, como o nome sugere, elimina aqueles popups chatos em sites que pedem ao usuário para aceitarem ou rejeitarem cookies.

É uma boa hora para desinstalá-la. Aquisições do tipo geralmente ocorrem pelo acesso direto aos usuários — e a IDCAC tem muitos deles, pelo menos 1,5 milhão no Chrome, Firefox e Edge somados.

A funcionalidade pode ser replicada usando esta lista de regras de domínio, da própria extensão, em outra, a uBlock Origin. Via I don’t care about cookies (em inglês).

5

O AdGuard, empresa especializada em soluções de bloqueio de conteúdo/anúncios, lançou a primeira extensão do Chrome adaptada ao Manifesto V3, a nova (e polêmica) API de extensões do navegador do Google que limita a ação de bloqueadores de anúncios e será obrigatória a partir de janeiro de 2023.

A extensão ainda tem caráter experimental. Ciente disso, baixe-e aqui.

Em um post no blog oficial, a empresa explica detalhadamente todos os entraves que o Manifesto V3 impôs ao desenvolvimento de uma versão da extensão do Chrome compatível — alguns, intransponíveis. Apesar da dor de cabeça, ela conclui que:

Embora a extensão experimental não seja tão efetiva quanto sua antecessora, a maioria dos usuários não sentirá a diferença. A única coisa que você talvez note são anúncios piscando devido ao atraso na aplicação de regras cosméticas.

Via AdGuard (em inglês).

Como criptografar arquivos e diretórios em qualquer nuvem — Dropbox, Google Drive, iCloud, OneDrive etc.

3

A maioria dos serviços comerciais de nuvem, como Dropbox, Google Drive, OneDrive e iCloud, só criptografa os arquivos e diretórios/pastas em trânsito. Isso significa que seus arquivos podem ser vistos por pessoas que tenham acesso aos servidores e manipulados por sistemas automatizados.

(mais…)

A Comissão de Proteção de Dados da Irlanda informou nesta segunda (5.set.22) que multou a Meta em € 405 milhões (~R$ 2,1 bilhões) por falhas no Instagram que expunham dados de adolescentes, o que configurou uma infração ao GDPR, a lei de proteção de dados pessoais da União Europeia.

É a segunda maior multa aplicada na União Europeia por infrações ao GDPR e a terceira que a Meta toma do bloco. A maior, no valor de € 746 milhões, foi aplicada em julho de 2021 contra a Amazon. Via Politico, Reuters (ambos em inglês).

3

Não é à toa que primeiro o Instagram, agora o Twitter, estão investindo em recursos que aumentam a privacidade e limitam o alcance potencial do conteúdo postado.

A “Roda do Twitter”, talvez o pior nome dos muitos ruins que o Twitter já inventou, foi lançada nesta terça (30) para todos, no Android, iOS e web. Nela é possível selecionar até 150 perfis para verem e responderem posts privados.

Fico na dúvida se o Twitter é um ambiente propício para esse tipo de coisa. Reza o meme que ali é o local onde encontramos estranhos com quem temos afinidades. Colocar estranhos num círculo íntimo soa… estranho? Talvez a única utilidade seja impedir que posts viralizem, mas para isso já existia o perfil trancado/com cadeado. Via Twitter.