Segurança

End of 10: Troque o Windows 10 por uma distro Linux

7

O suporte ao Windows 10 termina no dia 14/10/2025, ou seja, daqui a alguns meses. Uma galera envolvida com distros Linux subiu o site End of 10 para ajudar aqueles que quiserem trocar o Windows pelo Linux em vez de seguir a orientação da Microsoft, que é descartar um computador funcional e comprar outro com Windows 11. O End of 10 reúne instruções e locais e eventos em que voluntários instalam uma distro Linux nos computadores de quem não tem familiaridade com o assunto.

End of 10
Troque o Windows 10 pelo Linux

Super iniciativa. Só falta agora traduzirmos o site para o português e cadastrarmos mais locais e eventos. (Até o momento, só tem um pessoal da USP de São Carlos na lista de locais.)

FBI: O perigo em usar conversores de arquivos online

22

Em abril de 2024, o WordPress 6.5 trouxe, entre outras novidades, suporte nativo ao formato de imagens *.avif.

Pessoas normais só se importam com formatos de arquivos de imagens quando topam com incompatibilidades — a Apple e seu *.heic para fotos tiradas com o iPhone é, acho, a maior força de ~conscientização nessa frente. Eu, que sou anormal, passei meses refletindo se as vantagens evidentes do *.avif se sobrepunham à universalidade de antecessores menos eficientes, como *.jpg e *.png.

Faz algumas semanas, decidi dar o salto e adotar o *.avif para (quase) todas as imagens deste Manual.

(mais…)

O problema do SafetyCore, app que “brotou” em celulares Android

3

Seu celular é Android? Se sim, é provável que tenha aparecido um novo app aí chamado SafetyCore. Anunciado pelo Google em outubro de 2024, a empresa expandiu sua disponibilidade por esses dias.

O SafetyCore se destina a dispositivos que rodam Android 9 ou posterior, ocupa ~2 GB do armazenamento e, segundo o Google, “fornece infraestrutura comum que apps podem usar para proteger os usuários de conteúdo indesejado”. Ainda segundo a documentação (somente em inglês), “a classificação do conteúdo roda exclusivamente no dispositivo e os resultados não são compartilhados com o Google”.

Quase ninguém lê avisos, alertas, quiçá a documentação de um app ou sistema operacional. O que não passa batido é um novo ícone entre os apps do celular que “brota” da noite para o dia. O SafetyCore é motivo para preocupação?

(mais…)

9

Quando os serviços da Proton ficaram indisponíveis na madrugada desta quinta (30), algumas pessoas (eu também!) descobriram que o gerenciador de senhas ProtonPass não mantém uma cópia das senhas no dispositivo. Elas existem apenas na nuvem.

O pior é que existe um “modo offline”, porém ela vem desativada por padrão e é exclusivo da versão paga do ProtonPass.

Software de big tech não é apenas ruim; é nocivo

15

Um dos males do software comercial, aquele feito por exércitos de desenvolvedores bem pagos por empresas enormes, de capital aberto e muito prósperas, é que com frequência (quase sempre) seus interesses se desalinham dos dos usuários, nós.

Dois casos recentes envolvendo duas das maiores empresas de tecnologia do mundo, Google e Microsoft.

O aplicativo do Google para iOS ganhou um recurso chamado “Anotação da Página”. Ao abrir o link de um site dentro do app, o Google pode “extrair entidades interessantes da página e destacá-las”. O destaque se transforma em links que, ao serem clicados, levam a uma página de resultados do Google. / seroundtable.com (em inglês)

Para que não reste dúvidas: o Google insere links em qualquer site acessado pelo seu aplicativo. Links que a pessoa dona do site não inseriu. Ao clicar nesses links arbitrários, alguém é levado aos resultados do Google — e aos anúncios do Google, que lhe geram receita.

Quem não quiser links enfiados precisa preencher um formulário e aguardar 30 dias (!) para ter sua solicitação aceita.

(Nunca entendi por que alguém baixa o aplicativo do Google. Qual a vantagem em relação a abrir o navegador e digitar ou ditar o que se quer pesquisar?)

A Microsoft relançou seu aplicativo de papéis de parede do Bing para Windows. Agora, está disponível na loja do sistema. Não baixe-o; é quase um malware. / apps.microsoft.com

Rafael Rivera, ex-Microsoft MVP, analisou o aplicativo e descobriu ações questionáveis programadas nele. / @WithinRafael@x.com (em inglês)

O Bing Wallpapers tenta colocar o Bing como buscador padrão em qualquer navegador instalado no computador e abre abas periodicamente para oferecer coisas do Bing.

O pior é que o aplicativo da Microsoft lê e descriptografa cookies dos navegadores.

Em nota ao site The Register, a Microsoft diz que o app “não lê e descriptografa todos os cookies do Edge e Chrome”. Ênfase no todos. / theregister.com (em inglês)

São apenas dois casos, ambos descobertos graças a pessoas curiosas que se dispuseram a chafurdar aplicativos de baixa qualidade e, pior, proprietários. Imagine quantos outros casos escabrosos passam batidos…

1

O GitHub criou um fundo de apoio à segurança em projetos de código aberto com o apoio de parceiros de peso, como American Express, Shopify e a empresa-mãe, a Microsoft. Até aí, tudo bem. Problema é que essas empresas bilionárias juntaram apenas US$ 1,25 milhão que serão investidos em 125 projetos (US$ 10 mil para cada, distribuídos em 3 etapas ao longo de 12 meses).

Vamos tirar o escorpião do bolso aí, galera. / convergenciadigital.com.br, resources.github.com (em inglês)

Passadas as eleições municipais, o governo do Paraná levou à Assembleia Legislativa um projeto de privatização da Celepar, a empresa de TI do estado. / bemparana.com.br

O governador Ratinho Jr. (PSD) tem feito aqui o que o ex-presidente Jair Bolsonaro (PL) prometeu para o Brasil, mas não cumpriu: impor uma agenda agressiva de privatizações.

A Celepar é uma espécie de Serpro/Dataprev do estado. A exemplo das estatais federais, guarda dados pessoais de todos os paranaenses.

Bolsonaro tentou privatizar Serpro e Dataprev durante o seu mandato. Não conseguiu. / congressoemfoco.uol.com.br, salveseusdados.com.br

A oposição questiona o regime de urgência e lacunas no projeto apresentado por Ratinho Jr., como a que permitiria a transferência de contratos sem licitação com o Poder Público, uma prerrogativa da Celepar, à empresa vencedora do certame — arranjo que, segundo o Plural, pode estar em desacordo com a Lei de Licitações. / plural.jor.br

Um criminoso leva, em média, 7 minutos para transferir o dinheiro de um golpe para uma conta laranja e sacá-lo, segundo o Nubank. / mobiletime.com.br

Números enormes

1

Números que ajudam a colocar em perspectiva o tamanho do setor de tecnologia — em vários sentidos.

Saiu a nova edição da pesquisa TIC Kids Online Brasil. Ela mostra que embora 93% da população brasileira com idades entre 9 e 17 anos esteja conectada à internet, apenas 3 em cada 10 crianças são supervisionadas pelos pais ou responsáveis com recursos de restrição de conteúdo. / convergenciadigital.com.br

A SaferNet encaminhou um relatório ao Ministério Público Federal, Polícia Federal e autoridades francesas em que denuncia que +1,25 milhão de usuários do Telegram no Brasil estão em grupos que vendem e compartilham imagens de abusos sexuais e nudez não consensual. / convergenciadigital.com.br

Essa caberia no post de apps atualizados, mas preferi colocar aqui: após um hiato de 19 anos, o aplicativo WinDirStat ganhou uma atualização. (E das grandes, cheio de novidades.) / blog.windirstat.net (em inglês)

Bitwarden pode estar se afastando de licenciamento FOSS

8

Uma issue aberta no repositório do gerenciador de senhas Bitwarden na quinta (17) questiona se o app para computadores ainda é um software livre. O problema é uma nova “dependência” que impede o desenvolvimento de aplicativos derivados do Bitwarden. / github.com/bitwarden (em inglês)

Após a repercussão, o perfil da empresa no X informou que trata-se de um “bug no pacote” que será corrigido e que “o Bitwarden segue comprometido com o modelo de licenciamento de código aberto em vigor há anos”. / @Bitwarden@x.com (em inglês)

Seria um final feliz para um mal-entendido não fossem outros indícios preocupantes e ainda não esclarecidos.

Em julho, outra issue, esta no repositório do SDK (kit de desenvolvimento de software), chamou a atenção para o uso de uma licença não livre (FOSS), o que impede a compilação do aplicativo do Bitwarden para a loja F-Droid. / github.com (em inglês)

Na primeira resposta, Kyle Spearrin, fundador e CTO do Bitwarden, disse que:

Não há planos de ajustar a licença do SDK no momento. Continuaremos publicando no nosso próprio repositório no F-Droid.

Até a manhã desta terça (22), o comentário tinha +260 reações negativas e a issue voltou a receber comentários após ser mencionada na outra, do suposto “bug no pacote”.

Outro indício no subreddit do Bitwarden, em uma conversa a respeito do já referido bug no pacote. O usuário u/xxkylexx, que se identifica como desenvolvedor do Bitwarden, disse que:

Tudo que fazemos não é FOSS há muitos anos. Temos vários produtos corporativos/para empresas que vendemos sob uma licença de código-fonte proprietário disponível. Essencialmente um modelo de “núcleo aberto”. Não temos planos de mudar essa estratégia. / reddit.com/r/Bitwarden (em inglês)

Vale lembrar: em setembro de 2022, o Bitwarden levantou US$ 100 milhões em uma rodada de investimentos. / manualdousuario.net

Números enormes

Números que ajudam a colocar em perspectiva o tamanho do setor de tecnologia — em vários sentidos.

A Aliança FIDO está trabalhando em uma especificação para padronizar a transferência chaves-senhas (passkeys) entre apps/plataformas. No anúncio, revelou que 12 bilhões de contas digitais já podem ser acessadas por elas. / fidoalliance.org (em inglês)

O Bluesky ganhou mais de 1,2 milhão de novos usuários em dois dias após o X de Elon Musk avisar que o bloqueio não impedirá mais alguém de ver as postagens de perfis públicos e alterar os termos de uso na maciota para treinar inteligências artificiais com o conteúdo da plataforma. É como alguém disse por lá: o Bluesky é engraçado porque é a única plataforma cujo crescimento está condicionado ao ódio coletivo contra uma pessoa. / @bsky.app/Bluesky (em inglês)

Números enormes

1

Números que ajudam a colocar em perspectiva o tamanho do setor de tecnologia — em vários sentidos.

Em 2023, o projeto Thunderbird levantou US$ 8,6 milhões em contribuições de +300 mil indivíduos. A soma representa um aumento de 34,5% em relação ao total arrecadado no ano anterior. / blog.thunderbird.net (em inglês)

***

A Cloudflare neutralizou o maior ataque distribuído de negação de serviço (DDoS) já registrado. No pico, o volume foi de 3,8 terabits por segundo. O Brasil contribuiu com 4,7% dos pacotes disparados contra empresas de telecomunicação e do setor financeiro. / bleepingcomputer.com (em inglês)

***

De acordo com o presidente do Banco Central, Roberto Campos Neto, o custo operacional do Pix é de US$ 10 milhões por ano (~R$ 55 milhões). / convergenciadigital.com.br

Notícias da semana

Curadoria das principais notícias de tecnologia da semana.

Segunda, 2/9

A Americanas vai encerrar o Ame, seu braço financeiro, como parte das medidas para estancar a sangria aberta pela fraude colossal descoberta no início de 2023. / neofeed.com.br

***

Terça, 3/9

Foi lançado, em um evento em São Paulo, o Observatório Brasileiro de Inteligência Artificial (OBIA), que terá por objetivo monitorar o uso de IA no país. / mobiletime.com.br

Todos os modelos da YubiKey 5, da Yubico, têm uma falha criptográfica que permite sua clonagem da chave. Embora não seja corrigível, é difícil explorar a falha: é preciso acesso físico à chave, conhecimento técnico e equipamentos que custam ~US$ 11 mil. / arstechnica.com (em inglês)

A Microsoft anunciou a chegada de novos chips de Intel e AMD capazes de transformar notebooks em “PCs Copilot+”, ou seja, preparados para inteligência artificial. / blogs.windows.com (em inglês)

O Bluetooth 6.0 chegou. A principal novidade é o que chamam de “channel sounding”, recurso similar ao provido pelos chips U da Apple para localização precisa de dispositivos. / bluetooth.com (em inglês)

O Google liberou a versão aberta (AOSP) do Android 15. Ainda levará algumas semanas (ou meses, a depender do dispositivo) para chegar a celulares do mundo todo. / android-developers.googleblog.com

Após subir em +50% a mensalidade do Meli+, o Mercado Livre anunciou um novo plano mais barato e o fim do programa de pontos. / macmagazine.com.br

***

Quinta, 5/9

O YouTube abriu o leque de novidades esta semana. A plataforma anunciou ferramentas para proteger criadores de IAs e deepfakes, expansão global da vinculação de contas de adolescentes à “Central da Família” e limitação na recomendação repetitiva de conteúdos problemáticos, como os que comparam atributos físicos e perda de peso. / blog.youtube, blog.youtube (em inglês), blog.youtube

***

Sexta, 6/9

Na surdina, o Telegram alterou seus termos de uso para passar a moderar conteúdo de conversas privadas. / theverge.com (em inglês)

Falha no Simplenote fez usuários acessarem anotações de outras pessoas

7

O Simplenote, aplicativo de anotações da Automattic, é um dos favoritos da casa por ser leve, multiplataforma e oferecer um sistema de sincronização rápido e confiável. Ou assim o era.

Na noite do último domingo (18), o leitor Rick postou no Órbita o relato de um evento que ele bem classificou de “muito bizarro”:

Loguei no Simplenote na web e estava me preparando para anotar algumas coisa quando, do nada, minha nota desapareceu e logo em seguida assisti a uma nova nota ser criada e alguém anotando coisas em inglês. Eu fiquei de cara, desloguei e quando loguei novamente, as anotações continuaram, mas agora em esloveno. Acabei escrevendo uma mensagem e obtive resposta; a pessoa me perguntando como eu estava e que não estava nem aí com o que estava acontecendo, hahaha.

Outros usuários do Simplenote relataram a mesma situação no fórum de suporte. Passado algum tempo, a equipe do aplicativo publicou uma atualização no tópico reconhecendo o problema, que, segundo ela, só teria afetado usuários do Simplenote na web — apps para celulares e computadores, não.

No mesmo dia, Rick e outros usuários afetados pela falha receberam um e-mail explicando o que houve e quais medidas foram tomadas para mitigar a falha. Segundo o comunicado:

Semana passada, alguns códigos errados foram implementados, o que fez com que autorizações de login fossem ligadas às contas erradas.

Todas as contas afetadas tiveram os acessos redefinidos e sessões foram fechadas. Em seguida, as desculpas padrões para esse tipo de situação.

Por mais que eu goste do Simplenote, não é um aplicativo indicado para guardar dados sensíveis. A documentação do aplicativo (que, reconheçamos, ninguém lê) diz expressamente que:

As anotações não são criptografadas em repouso [no servidor] devido a restrições do lado do servidor. Por esse motivo, recomendamos não usar o Simplenote para armazenar algo particularmente sensível.

Não que sirva de desculpa para um deslize grave como o dessa semana. Para alguns leitores, grave demais — eles disseram ter perdido a confiança no produto.

Sai o WhatsApp, entra o… BraZap?

11

A não-notícia da Folha de S.Paulo, que atribuiu supostos ilícitos à conduta do ministro do STF e ex-presidente do TSE, Alexandre de Moraes, no enfrentamento dos atos golpistas de 8 de janeiro, reverberou no governo federal.

Segundo o próprio jornal, Ricardo Capelli, presidente da Agência Brasileira de Desenvolvimento Industrial (ABDI), “decidiu fazer uma licitação para contratar empresas nacionais que possuem aplicativos similares ao WhatsApp”.

O objetivo é nobre, mas a motivação carece de fundamento. Que pese o WhatsApp ser de uma empresa estadunidense e um software proprietário, ele usa o protocolo de criptografia do Signal, padrão ouro da área, sem histórico de brechas ou violações.

(Sempre é bom lembrar que criptografia de ponta a ponta não tem serventia quando uma das pontas é comprometida. Joesley Batista que o diga.)

O que me incomoda nessa proposta é ter como critério principal a nacionalidade do fornecedor. É preferível que seja uma empresa brasileira e poderia ser um requisito, mas o que mais beneficiaria a segurança e privacidade das comunicações seria a adoção de um protocolo aberto e confiável, como o Matrix.

O risco de responder sob pressão uma ameaça inexistente é trocar o WhatsApp por algo muito pior, mas com o selo “made in Brazil”. Quais as chances disso acontecer?