A coisa tá feia: não dá para confiar nas apps que você instala.

Não adianta você se limitar a instalar no seu smartphone apenas apps populares, já testadas por muita gente e há muito tempo.  A Path parecia ser uma app inocente o bastante, com mais de 24 mil avaliações, até um programador descobrir que a app copiava todo o catálogo de endereços do iPhone para os servidores da Path (detalhes técnicos no blog do programador). E o pior foi a resposta do CEO da Path, dizendo que isso era uma “industry best practice”.

Imagine só o que essas empresas andam fazendo. Ao dar acesso aos seus contatos de e-mail você geralmente só está dando e-mail e nome de todos eles. E isso já é ruim o bastante. Já no smartphone as chances são grandes de que existam além de todos os telefones, e-mail, endereço, aniversário, apelido, empresa onde trabalha e notas diversas sobre cada pessoa.

Ainda que não haja maldade nessa atitude (é ruim…), é preciso lembrar da lambança do QUIPTXT (por sinal, outra app para iPhone). Será que o catálogo de endereços de mais de 24 mil pessoas (e estou falando apenas de quem avaliou a app) está seguro nos servidores da Path? Ou qualquer funcionário da empresa ou hacker meia-boca tinha (o dono da empresa jura que apagou tudo) tem acesso a ele? Quantas estórias não já ouvimos sobre empresas que supostamente sabiam o que estavam fazendo mas deixaram vazar os números de cartão de crédito de todos os seus clientes?

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Depois de ler praticamente todos os comentários no blog do programador, fiquei ainda mais preocupado. Primeiro, um dos comentários diz que no iOS todas as apps tem acesso aos contatos e à internet

    The user is not required to give an application permission to access to this information. It is accessible for all apps, the same way accessing the internet is. So that means every app you’ve ever installed is capable of uploading your entire address book to a server without your knowledge or consent.

    Segundo, vários programadores respondem defendendo a Path e sugerindo que não vêem nenhum mal no ocorrido.

    O CEO da Path afirma que isso era feito para que fosse possível avisar ao usuário, por meio de comparação de e-mails, quando os amigos do usuário passassem a usar a app também. Mais ou menos como acontece no Facebook. Mas outros comentários apontam diversos problemas nisso:

    1)Nem todo mundo que está no meu catálogo de endereços é meu “amigo”. Pelo contrário: existem contatos que eu definitivamente quero evitar, passando pelos contatos estritamente comerciais

    2)A Path poderia ter obtido o mesmo resultado fazendo um hash local de cada um dos e-mails do catálogo e enviando para seus servidores apenas o hash. Isso permitiria a comparação mesmo obfuscando os endereços. Porém não resolve “1″.

    3)Para quê mandar o catálogo de endereços completo (nome, telefones, aniversário, notas) se você só precisa dos endereços de e-mail? Nem mesmo o nome da pessoa é necessário. Na verdade, do ponto de vista técnico, é contraproducente, já que uma mesma pessoa, com um mesmo e-mail, pode aparecer com nomes grafados de maneiras inteiramente diferentes em cada catálogo.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Inspirado pela descoberta, outro programador descobriu “falha” semelhante em uma app chamada Hipster.

    E em 2008 outra app fez o mesmo e foi apagada da app store. Segundo palavras do próprio desenvolvedor, quando eles viram que o SDK da Apple permitia que eles fizessem isso ele pensou: “por que não? Vai ser ótimo para os usuários!”

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Intruder A6

    Eles deveriam tomar um processo bem caro na caixa dos peitos de todos os 25 mil usuários do APP para ver como é que é bom, e para nunca mais se meter a besta.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • A julgar pelos comentários no blog do programador, incluindo os de dois supostos advogados, nem é necessário. O que a Path fez já viola leis de privacidade (incluindo leis específicas sobre dados de crianças), da Comunidade Européia e dos Estados Unidos. E como saiu um artigo sobre isso no The New York Times, espera-se que a Path já esteja encrencada.

      E não são apenas 25 mil. Não vi estimativa de downloads no iTunes, mas o número de usuários reais costuma ser bem maior que o de avaliações.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Felipe

    Até o Dilbert esta comentando sobre os apps “xeretas” http://www.dilbert.com/2012-05-03/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)

Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

SPAM “Social”: Você entrega seus amigos para “o mal”, jurando que está sendo “amigo”.

Eu estou pensando em fazer este texto há anos. Vai no “rascunho” mesmo porque não tenho tempo agora para “polir” isso.

Minha preocupação (e irritação) com isso começou em setembro de 2009, quando recebi uma mensagem do Facebook dizendo que um cara que eu havia conhecido através do meu trabalho com DivX players e que acabou se tornando um amigo me convidava para ser amigo dele na rede social.

Na época, eu nem tinha cadastro no Facebook e nem me interessave em ter. Não sou, nem nunca fui, fã de redes sociais. Eu tinha um perfil no Orkut, que era largamente mais popular no Brasil que o Facebook em 2009, mas só para poder achar (e não perder contato com) velhos colegas de escola, trabalho, etc.

Eu me perguntei por que meu amigo estaria me convidando para o Facebook, mesmo sabendo que eu sou nerd e (por definição) não gosto dessas coisas. A mensagem dizia o seguinte:

Olá xxxxxxxx@xxxxxxx.com,

Criei um perfil no Facebook com minhas fotos, vídeos e eventos e quero adicionar-lhe aos amigos para que você possa ver meu perfil. Primeiro, você precisa cadastrar-se no Facebook! Uma vez cadastrado, você também poderá criar o seu próprio perfil.

Obrigado,
xxxxxxxx

A mensagem foi feita para parecer pessoal, mas ainda soava impessoal para mim. Eu não acreditei que ele tivesse escrito mesmo o texto, apesar de estar “assinado” por ele.

Deixei de lado para pensar no assunto depois.

Mas o Facebook não quis me deixar esquecer. Me lembrou do “convite” novamente em outubro e, quando ele insistiu em novembro, desisti. Fiz o cadastro no Facebook para não decepcionar meu “amigo”.

E foi durante o cadastro que a ficha finalmente caiu quando, no final do processo, o Facebook pediu as minhas senhas do gmail e hotmail para poder convidar meus “amigos”.

Que enorme decepção. O Facebook era um spammer e meu amigo havia dado os meus dados a ele.

Está achando um exagero? Veja bem: até aquele momento eu pensava que o convite tinha sido direto e pessoal. Que meu amigo tinha especificamente me convidado para o Facebook. Descobri que ele havia convidado tudo quanto é gato, cachorro e papagaio no seu catálogo de endereços e que eu não era mais especial nesse sentido do que o SAC do Submarino. O Facebook não tem como saber quem é seu amigo no seu catálogo de endereços e nem quer saber. Ele só quer a valiosa combinação de endereços de e-mail válidos e nomes que pode obter lá. Afinal, de onde vem o lucro do Facebook? A capacidade de “atrair” milhões de pessoas e com isso “atrair” investidores e anunciantes baseado no grande número de usuários é um bom ponto de partida. Não importa para a empresa como foi feita essa “atração”.

Mas a irritação não acabou ai. Mesmo depois de cadastrado no Facebook, continuei recebendo os irritantes “lembretes” da empresa, para a mesma pessoa. O que acontece é que ao me cadastrar eu usei um e-mail especifico e o meu “convite” era para outro e-mail. O único jeito de parar de receber esse convites, sem bloquear possíveis convites legítimos, é dizer ao Facebook que aquele endereço de e-mail também é meu!

Um “prato cheio” para um spammer e “data minner”.

Desde então, eu ignoro todos os convites para redes sociais que recebo, se não tiver sido avisado antes de que ia ser convidado. E olha que não são poucos.

Meus “amigos” parecem felizes em dar meu e-mail para tudo o que é rede social ou serviço obscuro que aparece. Eu tenho uma pasta específica no gmail que rotulei “Spam Social” cheia desses convites e, pior, dos lembretes. Badoo (mando um cascudo todo especial para os “amigos” que formeceram meu e-mail para este), LinkedIn,  Dropbox, Quepasa, UNYK, Orkut, Clickon, Windows Live, Myspace, Sonico…

E tem também os serviços de compra coletiva como o Peixe Urbano. Todo mês eu recebo pelo menos sessenta e-mails do Peixe Urbano, devidamente classificados pelo Gmail automaticamente como SPAM, sem jamais ter me cadastrado na empresa. E por um endereço que eu só dou a amigos. Tudo indica que um ou mais “amigos” me “presentearam” com esses sessenta SPAMs mensais ao dividir seus catálogos de endereços com o Peixe Urbano. E sabe-se lá de quantos outros serviços eu sou vítima de SPAM pela mesma razão.

Outro dia, um cliente mencionou o convite que supostamente eu havia mandado a ele para entrar no Facebook. Espantado, eu disse a ele que deveria haver algum engano, porque não é do meu feitio misturar trabalho com redes sociais e eu não faria isso sem permissão, por considerar o convite algo “intrusivo”*. Ele então procurou nos seus e-mails pelo convite e descobrimos que se tratava de um outro Jefferson, que ele nem conhecia. Aí eu expliquei a ele como essa coisa funcionava e que aquela pessoa que o estava “convidando” possivelmente nem sabia quem ele era também, e o convite havia sido enviado simplesmente porque ele algum momento havia entrado em contato com a empresa do meu cliente e o endereço de e-mail (comercial) do meu cliente estava em seu catálogo de endereços.

Eu fico me perguntando quantas pessoas não acabaram criando perfis no Facebook por causa da pressão “social” de convites de pessoas que nem sabiam que as estavam convidando. Não é à toa que Mark Zuckerberg está bilionário.

*A maioria das pessoas não parece entender o quanto um convite para uma rede social como o Facebook é intrusivo.  Não se trata de apenas “declarar” que conhece a pessoa. Aceitar alguém como “amigo” ou “conhecido” em uma rede social dá a esse “conhecido” uma visão dos seus interesses e relacionamentos que pode ser extremamente incômoda.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
7 comentários
  • Julião

    Isso acontece comigo também, recebo convites de Linkein e outras coisas de gente que troquei emails apenas uma vez na vida.
     

    *A maioria das pessoas não parece entender o quanto um convite para uma rede social como o Facebook é intrusivo.  Não se trata de apenas “declarar” que conhece a pessoa. Aceitar alguém como “amigo” ou “conhecido” em uma rede social dá a esse “conhecido” uma visão dos seus interesses e relacionamentos que pode ser extremamente incômoda.
     

    Certamente é porque a maioria das pessoas costuma fazer as coisas em “modo automático”, sem pensar em nada, como acontecia na época em que eram comuns pragas instaladas via ActiveX e as pessoas confirmavam a instalação na maioria das vezes sem nem saber o que estavam fazendo. No fim as histórias sempre se repetem, só mudam os personagens e objetos.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos

    Concordo com você e com o Julião. Outro dia recebi convite para o “LinkedIn” de uma amiga, em tom pessoal, mas desconfiei e conversei com a pessoa antes de fazer cadastro. Ela me disse que só entrou nesse site UMA vez, e nisso deve ter fornecido sua lista de contatos. Isso é violação de privacidade!!! – da privacidade de terceiros!!! (não só do dono da lista de contatos, mas dos donos dos emails!). É um crime, dependendo do ponto de vista.
    A culpa é do usuário, que forneceu a senha? Não vejo assim. A culpa maior é da “engenharia social” da rede social que, além de pedir uma informação altamente sensível sabidamente “pessoal e intransferível” para dolosamente violar a privacidade alheia, o faz de uma forma a induz o usuário a cair no golpe. Nem todo usuário é esperto ou experiente o suficiente para entender a gravidade do que está fazendo com os seus amigos. Até porque grande parte deles cai em golpes semelhantes quando “clicam aqui” para ver “fotos.exe”; classifico no mesmo tipo de ingenuidade digital.
    Seria muito bom se a senha de acesso só funcionasse com o usuário e só no site da empresa (ex.: gmail), e não a partir de terceiros (ex.: facebook). Não consigo imaginar isso sem captcha, e captcha para cada login pode ser muito irritante para os usuários. Outra ideia é o uso de javascript para acionar certas funcionalidades, uma vez que robôs costumam ignorar js. Se o login só for possível com JS, isso pode dificultar acesso indevido de redes sociais. Porque não adianta o Google dizer nos termos de contrato “não forneça sua senha a ninguém”; é necessário uma proteção adicional própria.
    Aceito outras ideias, porque também desenvolvo sites e não quero que meus usuários caiam em golpes semelhantes.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • A culpa é do usuário, que forneceu a senha? Não vejo assim. A culpa maior é da “engenharia social” da rede social

      Apesar da clara má fé na atitude dessas empresas, não dá para passar a mão na cabeça do usuário, do contrário ele não aprende. Eu gostaria que todos os meus “amigos” que cairam nessa tivessem total ciência das implicações do que fizeram e pelo menos me pedissem desculpas e prometessem não fazer de novo, mas não posso dar um cascudo pessoalmente em todos, senão só vão sobrar os amigos nerds e, por força de definição, homens! :lol:

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Sony Santos

        Tem razão; eles precisam aprender. E do modo como escrevi deu a entender que acho que eles não tem nenhuma culpa; mas não soube me expressar bem. Penso que eles têm, sim, parte da culpa, mas uma culpa bem menor do que a das redes sociais.

        Seu comentário sobre os amigos nerds me fez lembrar de um blog chamado Garotas Geeks. Faz tempo que estou para comentar que sempre que vejo o “GG” no blog delas a primeira coisa que me vem à mente é “Geringonças & Gambiarras”, hehehhehehe. http://garotasgeeks.com/ 

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Leo

    Você falou na praga do Peixe Urbano mas tem coisa pior: “parceiros” de sites de vendas. Todo dia são uns 15 emails de sites que se dizem “parceiros” de outros, com ofertas duvidosas. E não adianta tentar cancelar o envio, usando o link de cancelamento, pois continuam a enviar spam.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • brunoguimaraes

    É verdade, ainda bem que no Yahoo existe a opção de bloqueio de domínio ou remetente, só assim para nunca mais receber esses spams de parceiros e as promoções que eu quero mesmo receber vão direto pra pasta de spam. Só queria saber quem foi o maldito que colheu o meu e-mail e vendeu, sendo que eu uso uma conta no Gmail só para cadastros.
     
    OBS: Jefferson, o pior é na play store do google, que malware lá come solto e sem a Google sequer se mexer, se a pessoa quiser manter informações importantes no celular, acho bom evitar Apps, porque não da pra se ter garantia alguma de segurança, haja visto como é a segurança dos dados no IOS e no Android.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • O Linkedin está se esmerando na baixeza. Estava me enchendo o saco com “lembretes” de convites que eu ignorei então fui olhar um de perto. Agora eles estão forjando o campo “from” dos e-mails.

    O campo agora tem o nome e endereço de email da pessoa que você conhece, como se ela mesma tivesse mandado. Só dá para perceber que é forjado olhando o código-fonte da mensagem para ver os headers. A mensagem parte dos servidores do Linkedin, mas diz que vem do uol, gmail, hotmail…

    E ainda “assina” as mensagens no nome da pessoa. Exemplos:

     

    Jefferson,

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Erick

     

     

    Jefferson,

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Lima 

     

     

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Suporte

     

    Esta última denuncia a Linkedin. O sistema automatizado simplesmente pega o primeiro nome do cadastro da pessoa/empresa e “assina” com ele.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)

Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.

Implicações da nova política de privacidade da Google

Há semanas a Google vinha me enchendo o saco com avisos sobre sua nova política de privacidade. Eu até tentei dar uma olhada, mas o blá-blá-blá me desinteressou rapidamente. Só hoje, lendo o slashdot, foi que eu entendi qual era a maior mudança: a Google tem coletado o histórico das pesquisas que você faz e isso vai ser associado ao seu perfil no dia 1 de março.

Para ser bem franco, eu só notei que a Google mantinha um registro das minhas pesquisas há umas poucas semanas, quando percebi que os resultados de buscas no Google sinalizavam sites que eu já tinha visitado, mesmo quando tinha sido em um computador diferente. Pensar que tudo o que eu pesquiso vai ser associado à minha conta, embora não seja nada aterrorizante, também não me deixa muito contente. Honestamente, eu prefiro o histórico das minhas pesquisas no meu computador apenas.

Eu segui a sugestão da EFF e apaguei o histórico. Deixei pausado até encontrar alguma utilidade para ele.

VN:R_U [1.9.13_1145]
Rating: 5.0/5 (1 vote cast)
3 comentários
  • Samada

    Ja faz um bom tempo (acho que 1 ano) que “pausei” o histórico de pesquisas.
    Isso foi logo quando descobri sua existência.
    O Google esta se tornando um big brother daqueles hein!

     

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Tom Taborda

    Como a Wired recomendou, faz tempo que uso o simples estratagema de usar diferentes navegadores:
    - Uso o Firefox como meu browser principal, com todos os AddOns que me são indispensáveis e sem estar logado no Google
    - Uso o Chrome, ‘limpinho’sem nenhum AddOn para me logar no gMail e GoogleDocs; mas não uso o Google para pesquisas
    - Uso o Opera para Internet Banking
     
    Assim, como no provérbio, “a mão direita não Vê o que faz a mão esquerda” ;)

    VN:R_U [1.9.13_1145]
    Rating: 5.0/5 (1 vote cast)
  • Ricardo

    O yahoo deve ter algo semelhante. Algué sabe onde olhar?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)

Clique aqui para comentar.
OBS: Os links "Responder" não aparecem nesta página, mas aparecerão na próxima.Por favor use-os se estiver respondendo a um comentário.