Anúncio Acesse versões internacionais da Netflix com a VPN do Surfshark

Extensões do Chrome serão proibidas de transferir ou usar dados dos usuários para fins controversos

A partir de 18 de janeiro de 2021, as extensões do Chrome exibirão, na Chrome Web Store, detalhes de quais tipos de dados elas coletam “em linguagem clara e fácil de entender”, parecido com o que já rola nas lojas de apps para celulares. Outra mudança importante é que passa a ser proibido usar ou transferir dados dos usuários para personalizar anúncios, fazer análise de crédito e repassá-los a qualquer espécie de data broker.

São medidas tardias, mas bem-vindas. O histórico de navegação web contém dados muito sensíveis; é possível inferir muita coisa apenas com base nele. Além do impacto no desempenho do navegador, a instalação de extensões abre brechas à privacidade — um alerta que fiz no último Guia Prático.

Note que é bastante difícil ao Google aplicar as novas diretrizes que impedem os donos de extensões de transferirem ou usarem dados do usuário para fins proibidos. Na dúvida, a recomendação é instalar o mínimo possível de extensões. Via Chromium Blog/Google (em inglês).

Como o iOS 14 exige que apps peçam a autorização do usuário para rastreá-lo em outros apps e sites

Três prints mostrando o popup pedindo autorização para rastreamento no Chess Time e, nas duas outras, a nova tela de Rastreamento nas opções de privacidade do iOS 14.
Clique para ampliar.

O iOS 14 trouxe um novo recurso de privacidade chamado App Tracking Transparency (ATT). Ele exige que os desenvolvedores de aplicativos peçam autorização ao usuário para rastreá-lo em outros apps e sites. O ATT foi lançado junto ao iOS 14, em outubro, e a princípio seria obrigatório, mas graças à choradeira de empresas como o Facebook, a Apple adiou a obrigatoriedade do seu uso para o início de 2021.

O não obrigatoriedade não impede que os donos de apps já peçam a autorização dos usuários para rastreá-los. Deparei-me com o primeiro pedido do tipo neste domingo (22), no app Chess Time, da Haptic Apps. Ainda não tinha lido a tradução em português da mensagem. Ela diz:

“[App]” deseja permissão para rastrear você entre apps e sites de propriedade de outras empresas.

A mensagem menor, em texto sem negrito, aparentemente é de responsabilidade do desenvolvedor. A do Chess Time explica que o rastreamento ajudará a personalizar anúncios.

Após o primeiro pedido, uma nova área aparece dentro de Privacidade, nos Ajustes.

Firefox Relay está disponível para todos

Em algum momento dos últimos meses, o Firefox Relay, foi liberado para todo mundo — no início, estava restrito a convites. Ainda em beta e grátis, ele oferece cinco “máscaras” (ou aliases). Espera-se que, se lançado oficialmente, a Mozilla ofereça um plano pago que remova esse limite.

O Firefox Relay permite criar “máscaras” de e-mail para proteger a privacidade do seu endereço. Em vez de dar o seu e-mail principal num cadastro qualquer, por exemplo, você cria uma máscara/alias (rl4as8r3@relay.firefox.com, por exemplo) que redirecionará mensagens ao seu endereço. Se um dia essa máscara/alias vazar ou começar a enviar mensagens indesejadas, bastará excluí-la para resolver o problema. Dica do leitor Ricardo Santos, via e-mail.

O escândalo de privacidade do OCSP no macOS Big Sur

Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.

O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:

  1. Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
  2. No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.

Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.

O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:

  • Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
  • Proteções mais robustas contra falhas de servidor; e
  • Uma nova opção aos usuários para desativar essas proteções de segurança.

A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.

Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!

Motoristas que moram em uma região com alto índice de roubo e furto podem ser beneficiados caso a seguradora detecte que eles transitam prioritariamente pelas vias menos visadas por ladrões.

— Eduardo Sodré Nesta coluna, Eduardo Sodré nos apresenta a uma direção do mercado ainda menos atenta à privacidade das pessoas e, não bastasse isso, com um grande potencial para reforçar estigmas e preconceitos. Tenho certeza que qualquer planejador urbano poderia tecer longos comentários sobre o absurdo da proposta citada acima. Via Folha.

WhatsApp terá mensagens temporárias que desaparecem após 7 dias

O WhatsApp agora permite que conversas individuais e em grupos sejam temporárias: após sete dias, elas somem automaticamente. O recurso é bem mais simples que as implementações de outros apps (Signal, Telegram), e talvez seja uma boa, para evitar confusão. Existem várias exceções à exclusão automática, como encaminhamentos a outras conversas e arquivos de mídia salvos na memória, então é uma boa ler a breve documentação oficial. Via WhatsApp.

Detalhes dos dados de clientes do James Delivery vazados no começo do ano

Clientes do James Delivery, do Grupo GPA, que têm seus e-mails cadastrados no Have I Been Pwned (HIBP, serviço de monitoramento de vazamentos) receberam nesta quinta (5) um alerta de que seus dados no James vazaram. O vazamento ocorreu em março deste ano, foi divulgado em junho e afetou pouco mais de 1,5 milhão de pessoas. Segundo o HIBP, os dados vazados são endereço de e-mail, localizações dos clientes (expressas em latitude e longitude) e senhas criptografadas. Via HIBP (em inglês).

Facebook, Google e Twitter e a liberdade de expressão / Os (muitos) golpes de WhatsApp

Na volta do Guia Prático, Rodrigo Ghedin e Jacqueline Lafloufa comentam a audiência no Senado norte-americano em que os CEOs Jack Dorsey (Twitter), Mark Zuckerberg (Facebook) e Sundar Pichai (Alphabet/Google) foram questionados sobre a maneira com que lidam com liberdade de expressão e moderação em suas plataformas. No segundo bloco, falamos dos muitos, alguns bem novos, […]

Consentindo com a coleta de dados do Yahoo

Sempre que acesso um site estranho e aquele popup pedindo meu consentimento para coletar dados é apresentado, dou uma vasculhada à procura de links e botões para negar a coleta. Nem todos têm isso, mas alguns sim, e é sempre um choque perceber que um site qualquer, às vezes aparentemente inofensivo, é capaz de sugar uma tonelada de dados de um simples acesso.

Ontem caí em um link do Yahoo e fui surpreendido pela página de consentimento mais longa que já vi até agora. São centenas de empresas “urubuzando” a minha singela tentativa de ler uma notícia no site do Yahoo. Veja o vídeo acima; a essa altura, virou uma piada sem graça. Não é possível que isso seja sustentável ou economicamente saudável. O Yahoo é uma propriedade da operadora norte-americana Verizon.

Universidade da Bahia emprestou notebooks com app espião aos alunos

Notebooks emprestados aos alunos pela Universidade Federal do Sul da Bahia (UFSB) estavam com um app espião chamado KidLogger. Destinado a controle parental, o app grava sons, imagens, salva senhas e histórico de conversas privadas.

Após denúncias em redes sociais, a UFSB divulgou uma nota na quinta (22) informando que recolherá os notebooks para análise. Ontem (23), a Comissão Permanente de Atividade Correicional da universidade abriu uma sindicância para apurar os fatos. Via @jvixcxtor/Twitter, DCEUFSB/Facebook.

No WhatsApp Business, nem todas as conversas são criptografadas de ponta a ponta

O Facebook anunciou três novidades para o WhatsApp Business, a versão para empresas que querem fazer negócios dentro da plataforma: 1) Compras sem sair do app; 2) Serviços de hospedagem do próprio Facebook, o que permitirá que as empresas tenham vários terminais com acesso à mesma conta do Business; e 3) Passará a cobrar por alguns serviços das empresas que usam o Business (alguns tipos de mensagens já são cobrados; isso será expandido).

São mudanças que transformam o WhatsApp Business em uma solução completa, verticalizada e escalável de comércio online. (Neste vídeo promocional dá para ver toda a jornada do cliente, incluindo o checkout.)

Também chama a atenção, e esta talvez seja a grande história enterrada neste anúncio, que as conversas com empresas que terceirizam a operação da API do WhatsApp Business não são criptografadas de ponta a ponta. Não sei se isso é novidade; pessoalmente, não sabia. E em breve, quando o próprio Facebook estiver disponível como um desses operadores terceirizados, “as empresas [que adotarem os serviços do Facebook] poderão usar as conversas para fins de marketing, o que inclui fazer publicidade no Facebook”.

As novidades estarão disponíveis nos próximos meses. Via WhatsApp, TechCrunch.

Bolsonaro nomeia três militares para autoridade de proteção de dados

Três dos cinco indicados pelo presidente Jair Bolsonaro (sem partido) para compor a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fazer valer a LGPD, são militares. Levantamento do Data Privacy indica que somente em dois outros países entre as 20 maiores economias do mundo há militares em órgãos do tipo: China e Rússia. Não são exatamente referências em respeito à privacidade dos cidadãos. Via Folha.

Zoom começa a oferecer criptografia de ponta a ponta

O Zoom começará a oferecer criptografia de ponta a ponta na semana que vem, em contas pagas e gratuitas, ainda em caráter de “prévia técnica”. Durante 30 dias, a empresa coletará impressões e relatos de bugs. As videochamadas criptografadas de ponta a ponta poderão ter até 200 participantes e não terão recursos que dependem de processamento em um servidor central, como gravação na nuvem e transcrição em tempo real.

Para saber se você está em uma videochamada do tipo, fique de olho no ícone do escudo verde: em vez de uma marca de verificado (✔️), as criptografadas exibem um cadeado. Via Zoom (em inglês).

Do NOT follow this link or you will be banned from the site!