FBI: O perigo em usar conversores de arquivos online

22

Em abril de 2024, o WordPress 6.5 trouxe, entre outras novidades, suporte nativo ao formato de imagens *.avif.

Pessoas normais só se importam com formatos de arquivos de imagens quando topam com incompatibilidades — a Apple e seu *.heic para fotos tiradas com o iPhone é, acho, a maior força de ~conscientização nessa frente. Eu, que sou anormal, passei meses refletindo se as vantagens evidentes do *.avif se sobrepunham à universalidade de antecessores menos eficientes, como *.jpg e *.png.

Faz algumas semanas, decidi dar o salto e adotar o *.avif para (quase) todas as imagens deste Manual.

Quase todas?

As exceções são ícones e outros elementos do leiaute, que são mais eficientes e melhor renderizados como *.svg.

Outra desvantagem dos formatos modernos é a falta de suporte. Qualquer aplicativo que lide com imagens consegue lidar com um arquivo *.jpg. Já um *.avif… boa sorte. Tanto que, até dias atrás, meu fluxo de trabalho para com elas consistia em gerar uma imagem original em *.jpg/*.png com a maior qualidade possível e, em seguida, convertê-la no Squoosh, uma aplicação web da equipe do Chrome, do Google.

Funciona? Sim, e super bem. Só que eu não curto muito a ideia de depender de um site para o meu fluxo de publicação — ele pode ficar indisponível ou mesmo sair do ar.

Existem alguns conversores de/para *.avif para o macOS. E existem aplicativos de terminal para esse fim, que me agradam mais.

Estou usando/testando dois, a libavif, ferramenta oficial do formato, e a cavif, do mesmo criador do ImageOptim. Ambas são ótimas. Não sei mesmo qual usar.

Foi durante essa pesquisa, aliás, que topei com um novo tipo de ameaça online, a dos golpes envolvendo conversores de arquivos online. O alerta é do FBI (sim, a polícia federal estadunidense):

Para operar esse esquema, cibercriminosos do mundo todo estão usando qualquer tipo de ferramenta gratuita de conversão ou download de documentos. Pode ser um site que afirma converter um tipo de arquivo em outro, como um *.doc para *.pdf. Também pode ser um que prometa combinar arquivos, como juntar vários arquivos *.jpg em um único *.pdf. A aplicação suspeita pode se apresentar como uma ferramenta para baixar arquivos *.mp3 ou *.mp4.

Esses conversores e ferramentas de download executam a tarefa prometida, mas o arquivo resultante pode conter um malware oculto, dando acesso aos criminosos ao computador da vítima. As ferramentas também podem vasculhar o arquivo enviado para extrair:

  • Informações pessoais identificáveis, como números de documentos oficiais, datas de nascimento, telefones etc.
  • Dados bancários.
  • Dados de criptomoedas (frases-semente, endereços de carteiras etc.).
  • Endereços de e-mail.
  • Senhas.

Infelizmente, muitas vítimas não percebem que foram infectadas até que seja tarde demais e tenham seu computador infectado com ransomware ou sua identidade roubada.

Atire a primeira pedra quem nunca abriu o Google (ou outro buscador), pesquisou por “doc para pdf” e usou o primeiro site da lista de resultados. Culpado!

Claro, existem serviços legítimos e seguros, como o já mencionado Squoosh. Nem sempre nos lembramos deles, em especial quando a nossa necessidade é esporádica ou em ambientes corporativos regulados, onde a instalação de aplicativos é proibida pelo departamento de TI e alternativas “online” (na web) são usadas para burlar essas políticas de segurança.

Há toda uma categoria de aplicativos locais super poderosos para tais tarefas: FFmpeg (áudio e vídeo; linha de comando), Handbrake (vídeo, com interface gráfica), GraphicsMagick (linha de comando)… Todos gratuitos e de código aberto, porém mais complexos que as interfaces simples das aplicações web, porém.

Não é a minha intenção fazer alarmismo de uma hipótese rara, ainda que plausível (ou assim diz o FBI). Talvez a solução para a insegurança online seja mesmo aquela velha máxima que diz que o único computador seguro é o que está desligado e enterrado a sete palmos.

A newsletter do Manual. Gratuita. Cancele quando quiser:

Quais edições extras deseja receber?

Siga no Bluesky, Mastodon e Telegram. Inscreva-se nas notificações push e no Feed RSS.

22 comentários

  1. Já comentei 1000x pra minha esposa que o escritório que ela trabalha deveria banir qualquer uso disso, mas… eles não estão nem aí e continuam a usar o ILovePDF e qualquer outra coisa.

    Obrigado pelo link, vai mais um pra lista de avisos que dei.

    Se eu fosse cliente de um escritorio eu perguntaria sobre isso.

  2. Será que site “I love PDF” tá nessa lista de sites maliciosos? Uso muito esse site. É um erro?

    1. Se o documento conter dados sensíveis, o mais aconselhável é não enviá-lo a site algum. Se for documentos públicos, acho que está de boa. O I Love PDF é bastante popular, né? Sempre ouço falar dele, até por gente que não se liga/importa tanto com tecnologia.

  3. Das já citadas ferramentas uso muito a do ffmpeg. Nada que uma combinação rápida dos comandos ou cheat sheet salvo num txt resolva.

    Não sou muito adepto das ferramentas online, uso vez ou outra a de remover background mas ainda em busca de uma ferramenta local que não seja o gimp ou o gimp com um plugin para esse fim , alguém sabe?

    Para PDF uso um editor offline no desktop chamado PDF Edit para coisas simples mas em gestão em lote uso o pdftk-server disponível para Windows e Linux.

    Vi nos comentários um pro youtube, fora o ytp-dl também uso do Freetube com interface gráfica e também o newpipe já conhecido aqui.

  4. Para conversão em Windows, tenho instalado para as pessoas o “Tichau File Converter”. Funciona offline e usando o botão direito do mouse, o que é prático. Creio que posso ter pego este programa em alguma dica dada no Manual.

    Sempre desconfiei de ferramentas online, só uso mais para coisas genéricas que não tem dados. Fora isso, prefiro tentar refazer na mão ou achar uma forma de fazer offline.

    1. A compressão é boa mesmo?
      Sempre tive dificuldade para comprimir meus arquivos.

  5. 1) Abro o Manual chegando no trabalho e rapidinho perco meia hora pensando/pesquisando sobre o .avif rs. E eu nem preciso me preocupar direito com tamanho das imagens!

    2) É terrível não ter uma alternativa boa no trabalho. Usamos versão gratuita do PDF X-Changer, que deixa utilizar todas as funcionalidades (que temos que dar crédito, é algo super raro), mas tasca um selo colorido em cada canto das páginas dizendo que o produto não foi ativado kkkkk.

  6. Qual a opção confiável e gratuita para converter doc para pdf?

    1. Acho que a melhor alternativa, neste caso, é abrir o .doc com algum editor e exportar para PDF mesmo.

      1. Isso me lembra da saudosa época (ou não tão saudosa assim) que a gente instalava um programa que, através de uma impressora no Windows, convertia qualquer arquivo em PDF. Hoje em dia o próprio Windows tem essa impressora, permitindo salvar qualquer coisa em PDF, mesmo não sendo um doc no Word.

        1. Sim, Linux tinha essa impressora faz muito tempo antes, mas a Microsoft demora muito pra adotar algumas facilidades, como sempre..

  7. “Atire a primeira pedra quem nunca abriu o Google (ou outro buscador), pesquisou por “doc para pdf” e usou o primeiro site da lista de resultados. Culpado!” 👀

    Meu deussss, sou culpada também!! Mas usei pra baixar áudio de vídeo do youtube, será que é a mesma coisa???

    ” As ferramentas também podem vasculhar o arquivo enviado para extrair: […]”

    Outra coisa que eu li e me alugou um triplex, é que as pessoas estão usando IA para revisar documentos e esquecendo do sigilo… Não vejo muita gente comentando sobre isso.

    1. Mas usei pra baixar áudio de vídeo do youtube, será que é a mesma coisa???

      Talvez sim? O alerta do FBI menciona esse caso de uso.

      Eu uso o yt-dlp para baixar vídeos e músicas do YouTube e de outras fontes online. É meio chatinho de aprender e usar, mas funciona super bem.

      1. “Eu uso o yt-dlp para baixar vídeos e músicas do YouTube e de outras fontes online. É meio chatinho de aprender e usar, mas funciona super bem.”

        Tem o Parabolic, que é uma interface para o yt-dlp e que funciona super bem.

    2. Pro bem e pro mal, tem certas tecnologias que – não sei bem o motivo, talvez pelo mix certo de quantidade de usos e praticidade – mas que se espalham mais rápido que a Covid aqui no Brasil, né?

      Penso no Pix como exemplo positivo (apesar de todos os golpes que facilitou, acho que o saldo é positivo), o Whatsapp se embrenhando em absolutamente todos os serviços públicos e privados como caso misto, e as IAs generativas como negativo.

      1. Praticidade e preço justo, essa é a fórmula mágica pra maioria dos produtos fazer sucesso.

        O Whatsapp cresceu numa época onde o SMS ainda era cobrado pelas operadoras e o MMS não engrenava por conta da dificuldade de uso. Spotify e Netflix cresceram oferecendo conteúdo a preço justo e de uma forma que compensava pagar pra não precisar mais caçar músicas e filmes em torrents ou sites piratas com qualidade de tekpix e criança chorando na sala do cinema. A Valve revolucionou a forma que as pessoas compram jogos com a Steam, localizando os preços pros mercados de cada país e sendo uma plataforma com uma curva suave de aprendizado tanto pra devs quanto pra jogadores.

        Tanto é que a pirataria despencou nessa “era de ouro” do streaming e voutou a crescer com a fragmentação dos serviços, porque os preços aumentaram demais e o trabalho de caçar um filme no torrent voltou a ser menor que procurar em 15 plataformas diferentes e ainda pagando pra ver anúncios.

Escolhas do editor

Posts aleatórios