WhatsApp está virando uma mistura de shopping com SAC

O marketing do WhatsApp é todo voltado às relações próximas, pessoais.

No site do aplicativo da Meta, uma mensagem grande diz que “com mensagens e chamadas privadas, você pode ser quem realmente é, conversar com liberdade e se aproximar das pessoas mais importantes da sua vida, não importa onde estejam”.

Quase escapou uma lágrima aqui.

Continue lendo “WhatsApp está virando uma mistura de shopping com SAC”

A vez em que tive prejuízo por proteger meus dados

Neste episódio do podcast, falo dos canais do WhatsApp (siga o do Manual), explico por que decidi criá-lo, falo das redes que abandonei e conto a história da vez em que tive um pequeno prejuízo por proteger demais meus dados.


Mande o seu recado ou pergunta, em texto ou áudio, no Telegram, pelo e-mail podcast@manualdousuario.net ou comentando na página deste episódio.

Está ouvindo pelo Apple Podcasts ou Spotify? Curta ❤️, comente dê cinco estrelas ⭐️⭐️⭐️⭐️⭐️ etc. Parece que precisa disso para que mais gente conheça o podcast. Obrigado!


Desde o último episódio, um leitor tornou-se assinante: Leandro Zedes. Obrigado!

Quer assinar também? Nesta página tem os planos, benefícios e valores.

Google adota “novilíngua” para continuar espionando usuários do Chrome

A empresa de publicidade Google começou a liberar um novo método de monitoramento/espionagem dos usuários do seu navegador, o Chrome.

Ao abrir a última versão do Chrome, os usuários serão, em algum momento, impactados por uma mensagem intitulada “Ative um recurso de privacidade de anúncios” (veja o print, em inglês, no Ars Technica).

O Google diz que está “lançando novos recursos de privacidade que lhe dão mais escolhas para os anúncios que você vê”. Na prática, o Google está incorporando, direto no navegador (Chrome), um sistema de espionagem massiva dos usuários.

Na novilíngua do Google, a violação da sua privacidade não é uma escolha. O que está em jogo é o modo como você deseja ceder todos os dados possíveis para segmentar anúncios.

Essa falsa escolha é uma resposta desesperada de um Google acuado pela concorrência.

Desde 2020, outros navegadores, como Safari da Apple e Firefox da Mozilla, baniram os cookies de terceiros, método preferido há anos por empresas de publicidade — como o Google — para espionar as pessoas para fins publicitários.

O Google, a fim de manter seu verniz de “privacidade”, prometeu que também aposentaria os cookies de terceiros, mas só fará isso depois que estabelecer outro método eficaz de espionagem.

Já tentou duas vezes, com o FLoC e a API de tópicos. Ambas fracassaram por falta de apoio — exceto anunciantes e empresas de publicidade, ninguém achou boa ideia. Por isso, a aposentadoria dos cookies de terceiros no Chrome já foi adiada incontáveis vezes.

O novo “recurso de privacidade” do Chrome é a mais nova tentativa do Google de impor um sistema alternativo de vigilância corporativa. Sem surpresa, somente o Chrome pretendo adotá-lo entre os principais navegadores – o único de uma empresa de publicidade.

Por ora, é possível ignorar essa nova investida. Em algum momento, não será mais. A melhor maneira de evitar os avanços do Google na deterioração da privacidade online é não usando o Chrome. Existem alternativas.

Hackers apagam dados de ~76 mil celulares infectados por “app espião”

Hackers que não se identificaram disseram ao site TechCrunch terem invadido os sistemas da empresa por trás do aplicativo WebDetetive e apagado os dados de ~76 mil celulares Android comprometidos — a maioria deles, brasileiros.

O WebDetetive é (ou era) um “stalkerware”, também conhecido por “spouseware” ou “app espião”: um software que, ao ser instalado no celular da vítima, passa a enviar a um servidor remoto (e ao perseguidor que instalou o app) dados que vão de fotos e mensagens a gravações do microfone e a localização exata do celular.

A reportagem do TechCrunch conseguiu confirmar, com a ajuda do coletivo DDoSecrets, a veracidade da invasão a partir de arquivos vazados pelos hackers, mas não se eles de fato apagaram os dados coletados sem autorização dos celulares das vítimas do WebDetetive. Esses dados, obviamente, não constam no conjunto de dados vazados.

O foco no Brasil da desenvolvedora do WebDetetive, sediada na Espanha, não é por acaso.

Uma pesquisa da Kaspersky, do início de 2022, descobriu que aplicativos espiões são a forma mais comum de perseguição digital no país. Para piorar, é um risco oculto à maioria: 70% dos respondentes disse desconhecer a existência de apps do tipo.

Apps espiões também têm a capacidade de se esconderem dentro do celular, o que dificulta sua detenção pela vítima. Seu uso está diretamente ligado a abusos que, em alguns casos, podem levar ao feminicídio.

A Kaspersky tem um bom material sobre o assunto.

Reconhecimento facial na mira da China

A Administração do Ciberespaço da China, órgão que regulamenta a internet no país, abriu para consulta pública o rascunho de regras para restringir o uso de tecnologia de reconhecimento facial em território nacional.

Com 25 artigos, a proposta proibiria o uso dessa tecnologia como forma de verificação de identidade em bancos, hotéis, aeroportos, bibliotecas e estabelecimentos comerciais, a não ser que seja exigido por lei — e, nesse caso, sistemas nacionais de reconhecimento facial devem ser utilizados.

Como explica Evelyn Cheng para a CNBC, o reconhecimento facial pode ser usado atualmente para realizar pagamentos em algumas lojas, estações de metrô e para entrar em prédios e campi universitários.

As regras propostas também estabelecem que essa tecnologia somente deve ser usada quando outros métodos de verificação de identidade não-biométricos não forem suficientes e que é necessário obter consentimento e declaração de fim específico do uso dos dados coletados. Chama atenção o artigo 11, que preconiza que nenhuma organização ou indivíduo pode usar a tecnologia de reconhecimento facial para obter dados relacionados a raça, etnia, religião, classe social e demais dados sensíveis. A consulta pública está aberta até sete de setembro e o rascunho da proposta pode ser lido aqui (em chinês). Uma tradução para o inglês foi disponibilizada pelo China Law Translate.

A Shūmiàn 书面 é uma plataforma independente, que publica notícias e análises de política, economia, relações exteriores e sociedade da China. Receba a newsletter semanal, sem custo.

Zoom tenta explicar suposto uso de videochamadas para treinar IA

Uma atualização de março de 2023 nos termos de uso do Zoom, popular aplicativo de videochamadas, colocou a empresa na defensiva nesta segunda (7).

Alguns sites acusaram o Zoom de estar usando dados dos usuários para treinar modelos de inteligência artificial, sem dar a chance de rejeitar a cessão de dados para essa finalidade.

É verdade, mas uma verdade menos maquiavélica do que algumas manchetes levam a crer.

A celeuma está centrada em duas cláusulas:

  • A cláusula 10.2, que prevê que o Zoom pode usar “dados gerados por serviços” para, entre outras coisas, “aprendizado de máquina ou inteligência artificial (inclusive para fins de treinamento e ajuste de algoritmos e modelos)”.
  • E a cláusula 10.4, que prevê que o usuário do Zoom concede uma licença ao Zoom que pode usar seu conteúdo (aí sim: videochamadas, arquivos e mensagens de texto) para, entre outras coisas, “fins de desenvolvimento de produtos e serviços […] aprendizado de máquina, inteligência artificial, treinamento […]”.

“Dados gerados por serviços”, os que são usados de maneira compulsória, são “quaisquer dados de telemetria, dados de uso do produto, dados de diagnóstico e conteúdo ou dados semelhantes”.

Em outras palavras, nada relacionado ao conteúdo do usuário — videochamadas, arquivos ou mensagens de texto —, apenas metadados que, regra geral, empresas comerciais e até algumas não-comerciais usam para aprimorar o serviço, identificar falhas etc.

Os recursos do usuário, previstos na cláusula 10.4, podem ser usados para treinar IAs, mas apenas com o consentimento explícito do usuário.

Ao entrar em uma chamada em que esse uso é possível (ele precisa ser ativado previamente pelo anfitrião ou empresa), um aviso é exibido com a opção de deixar a sala, caso a pessoa não concorde com a cessão de dados para treinar IA.

Smita Hashim, diretora de produtos do Zoom, tentou apagar o incêndio de relações públicas com um post no blog da empresa. Em dois momentos, ambos em negrito para dar ênfase, ela escreveu:

Para IA, não usamos conteúdo de áudio, vídeo ou mensagens para treinar nossos modelos sem o consentimento do cliente.

Uma variação da mensagem também foi adicionada à cláusula 10.4 dos termos de uso, por ora apenas na versão em inglês, nesta segunda (7).

Em março, o Zoom lançou recursos de inteligência artificial que automatizam algumas tarefas típicas em videochamadas, como redação de um resumo da conversa/reunião, sob a marca Zoom IQ.

Desde a surgimento meteórico do ChatGPT, as pessoas aprenderam melhor o funcionamento de modelos de IA e a natureza dessa tecnologia, subproduto de quantidades gigantescas de conteúdo, tão grandes que é quase impossível trabalhar apenas com conjuntos de dados sintéticos.

Perto do que OpenAI, Google e outras fizeram — pegar dados da web aberta e de plataformas como Reddit e Twitter sem nem avisar —, a postura do Zoom me parece menos pior.

E até as piores situações têm um lado bom. A confusão com os termos de uso e IA abafou outra notícia com potencial polêmico ainda maior para o Zoom: a empresa, que cresceu horrores durante a pandemia ao viabilizar o trabalho remoto por videochamadas, vai obrigar todos os funcionários que residam num raio de ~80 km de um dos seus escritórios a trabalharem presencialmente pelo menos dois dias na semana.

Google propõe “DRM” para a web

Quatro funcionários do Google publicaram o rascunho de uma proposta do Web Environment Integrity (WEI), uma nova API para atestar a aplicações web que é um ser humano interagindo do outro lado da tela.

Parece ótimo — afinal, robôs, fraudadores e adulterações em software são problemas reais —, mas como tudo que vem do Google, o diabo está nos detalhes.

Continue lendo “Google propõe “DRM” para a web”

Google adotará padrão aberto de mensagens criptografadas de ponta a ponta.

O Google vai adotar um padrão para mensagens criptografadas de ponta a ponta e interoperáveis no Google Messages e no Android. O Message Layer Security (MLS, especificação RFC 9420) foi finalizado neste mês de julho.

O Google arrisca ser visto lá na frente como um pioneiro: como não tem um app de mensagens popular, pode abraçar sem ressalvas a ideia; e com a força da União Europeia/Digital Markets Act, as chances do MLS vingar são bem maiores que as do RCS, que até hoje a Apple ignora mesmo diante de apelos públicos do Google. Via Google (em inglês).

Remini compartilha dados com terceiros e pode retê-los por até dez anos.

O aplicativo Remini anda em alta, e por um motivo meio… esquisito: ele gera fotos de bebês — que não existem — da pessoa que o utiliza. Gosto duvidoso à parte, a política de privacidade do Remini, sem surpresa, é aquela padrão de apps do tipo: dados podem ser compartilhados com terceiros para fins de segmentação de anúncios e podem ficar retidos por até uma década.

A empresa por trás do Remini é a Bending Spoons, a mesma que comprou o Evernote e, no início de julho, demitiu em massa e fechou escritórios nos EUA e Chile. Via Estadão [sem paywall].

Primeira multa da ANPD é por spam eleitoral via WhatsApp.

A primeira multa aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) foi a uma empresa de Vila Velha (ES), a Telekall, que ofereceu listas de contatos de WhatsApp para spam eleitoral a candidatos de Ubatuba e Campinas (ambas em SP), nas eleições municipais de 2020. Íntegra do relatório de instrução (PDF). No total, R$ 14,4 mil, mais uma advertência. Via Convergência Digital.

Verificação de Privacidade no WhatsApp.

O WhatsApp ganhou uma tela chamada Controle/Verificação de Privacidade (dentro da aba Configurações, Privacidade) que apresenta as várias opções do tipo de outra maneira, organizadas por tópicos. Achei intuitiva, com rótulos e conjuntos que fazem mais sentido. Por que não é assim por padrão? Via WhatsApp.

Loja de apps do Google tinha gravador que vazava áudios dos usuários e jogo de escravidão.

Não foi uma boa semana para a Play Store, loja de aplicativos para Android do Google.

Na terça (23), o pesquisador Lukas Stefanko, da ESET, revelou que um aplicativo a princípio legítimo, chamado iRecorder Screen Recorder, foi atualizado no segundo semestre de 2022 e passou a gravar e enviar áudios a servidores externos, sem o conhecimento do usuário, a cada 15 minutos.

O iRecorder Screen Recorder tinha mais de 50 mil downloads. O Google removeu o aplicativo da loja.

Caso mais grave ganhou destaque no Brasil. Um jogo chamado Simulador de Escravidão estava sendo distribuído na Play Store. O título descreve bem o conteúdo do jogo, que, após a repercussão, também foi removido pelo Google.

O mais bizarro (e triste) nesse caso é que Simulador de Escravidão tinha nota 4,0 (de 5,0 possível), resultado de 66 avaliações na Play Store. Via ESET (em inglês) e O Globo.

União Europeia aplica multa recorde à Meta — € 1,2 bilhão (~R$ 6,5 bi).

A União Europeia multou a Meta em € 1,2 bilhão (~R$ 6,5 bilhões). O motivo é a transferência de dados de usuários europeus do Facebook para os Estados Unidos. Além da multa, o bloco deu seis meses para que a Meta cesse a transferência de dados entre Europa e EUA.

É a maior multa já aplicada pela União Europeia com base no Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês). Andrea Jelinek, chair do Conselho de Proteção de Dados Europeu (EDPB), disse que “a multa sem precedentes é um forte sinal para empresas de que infrações sérias têm consequências de longo alcance”.

Em resposta, executivos da Meta fizeram objeções à decisão em um post no site da empresa. “A capacidade dos dados serem transferidos pela fronteiras é fundamental para o funcionamento da internet aberta global”, escreveram.

E… talvez a Meta tenha um bom argumento aqui? Embora o EDPB tenha fundamentado a decisão no artigo 46(1) do GDPR, que permite a transferência de dados a outros países desde que haja salvaguardas apropriadas e remédios legais estejam disponíveis (leia-se: evitar a espionagem estrangeira), dizendo que a Meta foi negligente “no mais alto nível”, a punição determinada pode, sim, inviabilizar o funcionamento do Facebook na Europa.

A Meta vai recorrer. A empresa espera, porém, que as tratativas entre EUA e União Europeia a respeito de um acordo de transferência de dados, iniciadas em 2022, sejam formalizadas antes do fim do prazo de seis meses. Um acordo do tipo, conhecido como Privacy Shield, foi invalidado pela suprema corte europeia em 2020 após ser questionado por um ativista austríaco, Max Schrems. Via EDPB, Meta, New York Times e Ars Technica (todos em inglês).

Telegram protege criminosos, não a liberdade de expressão, ao recusar colaboração com a Justiça

No despacho em que determinou o bloqueio do Telegram em todo o território brasileiro, o juiz federal Wellington Lopes da Silva, do Espírito Santo, afirmou que o aplicativo “se limitou a negar o fornecimento dos dados requisitados sob alegação genérica de que ‘o grupo já foi deletado’”.

Desde a noite de quinta-feira (26), o aplicativo está inoperante no país. A medida é extrema, mas não é ilegal. Ela é prevista no Marco Civil da Internet (MCI), no artigo 11, III.

Continue lendo “Telegram protege criminosos, não a liberdade de expressão, ao recusar colaboração com a Justiça”

Policiais suecos tentaram apreender dados de clientes da Mullvad VPN, que afirma não tê-los.

A Mullvad VPN, da Suécia, avisou ter recebido em seu escritório “pelo menos seis policiais” do Departamento de Operações Nacional, da polícia sueca, com um mandado de busca e apreensão. O objetivo era apreender computadores com dados dos usuários.

A investida das autoridades foi frustrada, segundo a empresa. A Mullvad VPN diz não guardar dados dos seus clientes.

Argumentamos que eles não tinham motivos para esperar encontrar o que estavam procurando e, portanto, quaisquer apreensões seriam ilegais sob a lei sueca. Depois de demonstrar que é realmente assim que nosso serviço funciona e de terem consultado o promotor, eles saíram sem pegar nada e sem nenhuma informação dos clientes.

Segundo a empresa, foi a primeira vez em 14 anos que eles receberam a visita de autoridades no escritório, que fica em Gotemburgo, na costa oeste da Suécia. Via Mullvad VPN (em inglês).