Logos das cinco empresas citadas no post contra um fundo escuro.

Os problemas mais urgentes que as empresas de tecnologia precisam resolver para dar mais segurança e privacidade aos usuários


4/4/19 às 10h27

Nota do editor: Nesta quarta-feira (3), o WhatsApp anunciou uma novidade há muito esperada: a opção que dá ao usuário o poder de escolha para ser adicionado ou não a um grupo. Era algo básico e espanta que tenha demorado tanto para ser implementado. Não é o único caso do tipo na indústria.

A Electronic Frontier Foundation (EFF), ONG sem fins lucrativos que atua na defesa dos direitos digitais das pessoas, lançou em fevereiro a campanha Fix It Already para chamar à atenção alguns desses casos. O controle para a entrada em grupos do WhatsApp era um deles. Faltam outros. E não existe santo nessa indústria: todas as grandes empresas de tecnologia têm lacunas óbvias que, se consertadas, melhorariam muito os níveis de segurança e privacidade dos seus usuários.

O Manual do Usuário lista, traduzidas, as demandas da campanha Fix It Already direcionadas à Apple, Facebook, Google, Microsoft e Twitter.

Google (Android)

O Android deveria deixar os usuários negarem ou revogarem as permissões de acesso à internet dos aplicativos.
Imagem: EFF/Reprodução.

O Android permite que você negue aos aplicativos, individualmente, algumas permissões como o acesso à localização. Mas o acesso à internet não é uma dessas permissões. Permitir que os usuários neguem o acesso à internet aos aplicativos seria um progresso para a privacidade no Android.


As principais notícias de tecnologia e indicações de leituras no seu e-mail. Assine a newsletter (é grátis!):


Desde que o Google lançou o Android 6.0 “Marshmallow”, em 2015, os usuários do Android conseguem revogar ou negar permissões específicas a aplicativos. Não quer que o app de lanterna acesse a sua localização? Apenas mude uma configuração. Não quer que o último joguinho da moda veja a sua lista de contatos? Mude a chave. Não quer que seu app de mensagens ouça o que você está falando pelo microfone? Sem problemas.

Mas uma permissão que os usuários não podem negar é o acesso à internet — não importa o quanto você não queira que o app de lanterna entre em contato com o seu criador e o informe sobre cada toque, arrastar de dedo na tela ou os horários em que ele é aberto. Embora a Apple também não ofereça esta opção no iOS, temos uma preocupação maior de que o modelo de negócio com base em publicidade segmentada do Google gere menos incentivo para interromper o monitoramento assustador do usuário. Limitar a capacidade dos apps para Android de rastrearem os usuários seria um grande passo na direção certa. (E, claro, se o Google oferecesse aos usuários esta opção, a Apple não teria desculpa para não fazer isso no iOS também.)

Em vez de não terem outra escolha a não ser compartilhar seus dados com os criadores de todos os aplicativos que usam, os usuários do Android deveriam ser capazes de negar e revogar a permissão dos aplicativos de acessar a internet. Sua vez, Google.

Apple (iCloud)

A Apple deveria deixar os usuários criptografarem seus backups do iCloud.
Imagem: EFF/Reprodução.

Os dados em seu dispositivo da Apple são criptografados para que ninguém além de você possa acessá-los. Isso é ótimo para a privacidade do usuário. No entanto, quando os dados são copiados para o iCloud, eles são criptografados de modo que a Apple também, e não apenas o usuário, possa acessá-los. Isso torna esses backups vulneráveis a solicitações do governo, invasões de terceiros e divulgação por funcionários da Apple. A Apple deveria permitir que os usuários se protejam e possam escolher por backups verdadeiramente criptografados do iCloud.

A boa notícia é que o CEO da Apple, Tim Cook, já acha que criptografar os backups do iCloud é uma boa ideia e parece inclinado a implementá-la no futuro. Eis o que ele disse sobre permitir que os usuários criptografem seus backups do iCloud em uma entrevista ao Der Spiegel:

SPIEGEL: Os dados também estão seguros no serviço online iCloud como nos dispositivos?
COOK: Lá nossos usuários têm uma chave e nós temos outra. Fazemos isso porque alguns usuários perdem ou esquecem a chave e esperam ajuda de nós para recuperarem os dados. É difícil estimar quando mudaremos essa prática, mas acho que isso será regulado no futuro, como acontece com os dispositivos. Portanto, não teremos [a Apple] uma chave para isso no futuro.

O futuro é agora, Tim. Embora alguns usuários possam achar útil que a Apple recupere seus backups quando eles esquecem suas senhas, isso não vale para todos. É hora de permitir que os usuários escolham a segurança e criptografem seus backups do iCloud para que somente eles tenham a chave.

Microsoft (Windows 10)

O Windows 10 deveria permitir que os usuários mantenham a chave de criptografia da memória somente com eles
Imagem: EFF/Reprodução.

A criptografia total da memória é a primeira linha de defesa para seus dados caso o dispositivo seja roubado ou perdido estando ele desligado. É uma parte tão fundamental da segurança que todos os sistemas operacionais modernos destinados a usuários domésticos vêm com algum tipo de solução de criptografia — exceto no Windows 10.

O Windows 10 Home Edition vem com uma solução de criptografia integrada, mas apenas para alguns usuários. Chamada de “criptografia de dispositivo”, ela só funciona se você tiver determinado hardware e se acessar o seu computador com uma conta da Microsoft, o que significa que você precisa confiar as chaves de backup à Microsoft. Trata-se de um projeto de criptografia ruim da Microsoft: os usuários nunca deveriam ter que fornecer suas chaves de criptografia a terceiros.

Outras versões do Windows 10 não exigem que você faça backup de sua chave nos servidores da Microsoft. Alguns usuários do Windows 10 Home podem achar útil ter uma chave de backup armazenada nos servidores da Microsoft, para que eles possam recuperar o conteúdo de seus computadores mesmo se eles esquecerem suas senhas. Mas outros usuários podem ter interesses diferentes e não ter conhecimento técnico suficiente para remover a chave de backup e gerar uma nova.

É por isso que a Microsoft deveria atualizar o Windows 10 Home Edition. Todos os usuários deveriam poder criptografar seus dispositivos usando ferramentas nativas que não exijam deles malabarismos para revogar o poder da Microsoft de descriptografar seus dispositivos sem o seu consentimento.

Twitter

O Twitter deveria criptografar de ponta a ponta as mensagens diretas
Imagem: EFF/Reprodução.

Quando você envia uma mensagem direta no Twitter, há três pessoas que podem lê-la: você, o usuário para quem você a enviou e o próprio Twitter. Um desses é obviamente desnecessário. O Twitter poderia consertar isto fazendo com que suas DMs sejam criptografadas de ponta a ponta.

As pessoas falam sobre assuntos sensíveis em suas mensagens diretas e quando o Twitter recebe um mandado pedindo o conteúdo dessas mensagens, pode entregá-las aos governos e às autoridades. O Twitter pode tornar as mensagens diretas mais seguras para os usuários, protegendo-as com criptografia de ponta a ponta.

A criptografia de ponta a ponta garante que uma mensagem seja transformada em uma mensagem secreta pelo remetente e possível de ser decodificada apenas pelo destinatário (entenda). Isso significa que ninguém, a não ser os usuários finais, são capazes de ler essas mensagens. O Twitter não estaria mais em posição de entregar mensagens privadas às autoridades.

Muitos outros sistemas de mensagens populares já estão usando criptografia de ponta a ponta, incluindo WhatsApp, iMessage e Signal. É óbvio que o Twitter deveria proteger as duas DMs também.

Facebook

O Facebook deveria deixar seu número de telefone onde você o colocou.
Imagem: EFF/Reprodução.

Acrescente isto à lista de maneiras invasivas com que o Facebook faz dinheiro com as suas informações pessoais: usando o seu número de telefone para publicidade segmentada mesmo que você o tenha fornecido por outros motivos. Ao contrário do que o usuário esperaria e de declarações anteriores do Facebook, a empresa usa as informações de contato fornecidas pelos usuários apenas para fins de segurança — ou mesmo jamais fornecidas — para publicidade segmentada.

Quando um usuário concede ao Facebook o seu número para fins de segurança — para configurar a autenticação em dois passos ou para receber alertas sobre novos logins em sua conta —, esse número de telefone pode entrar na dança dos anunciantes em questão de semanas.

E isso não é tudo. O Facebook também está pegando suas informações de contato a partir dos seus amigos. Isso significa que, mesmo que você nunca tenha entregue diretamente um número de telefone específico ao Facebook, os anunciantes poderão, no entanto, associá-lo à sua conta com base nas listas de contatos dos seus amigos.

Com o Facebook tentando salvar a sua reputação entre os usuários em meio a incontáveis escândalos, ele precisa tomar providências em vez de ficar só na conversa. Interromper todos os usos não essenciais de números para fim de autenticação em dois fatores e coletados via listas de contatos de terceiros seria um bom começo.


Publicado originalmente no site da EFF em 28/02/2019.

Logo da EFF.A Electronic Frontier Foundation é uma organização norte-americana sem fins lucrativos que defende a liberdade e os direitos civis no mundo digital. O Manual do Usuário traduz conteúdo selecionado do blog da fundação — matérias pertinentes sobre temas importantes.

Colabore
Assine o Manual

Privacidade online é possível e este blog prova: aqui, você não é monitorado. A cobertura de tecnologia mais crítica do Brasil precisa do seu apoio.

Assine
a partir de R$ 9/mês

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

2 comentários

  1. Isso sem falar no assustador e perigoso minhas atividades do google, que pode ser aberto por qualquer pessoa onde sua conta Google foi logada, uma vez que o usuário comum costuma salvar a senha no Chrome, esse tipo de informação no mínimo deveria ter autentificação em dois fatores ou nem estar acessível.