Notícias

Google Allo manda o recado errado sobre criptografia

Por Gennie Gebhart para Electronic Frontier Foundation

Quando o Google anunciou seu novo aplicativo de mensagens Allo, a Electronic Frontier Foundier ficou inicialmente feliz ao ver a empresa responder a demanda de longa de data dos consumidores por aplicativos de mensagens seguros e amigáveis aos usuários. Infelizmente, agora parece que a resposta do Google pode causar mais mal do que bem. Ainda que o Allo exponha mais usuários à criptografia ponta-a-ponta, este benefício potencial é ofuscado pelos sinais ambíguos do Allo sobre mensagens seguras e seu funcionamento. Isso tem um significado para desenvolvedores e usuários de aplicativos de mensagens seguras para além do Google ou do Allo: se quisermos proteger todos os usuários, devemos tornar a criptografia nosso status quo: automática, simples e fácil de usar.

O novo aplicativo de mensagens do Google oferece dois modos: um modo padrão e um modoanônimo” com criptografia ponta-a-ponta. O modo padrão possui dois novos recursos: o Google Assistant, um assistente virtual baseado em inteligência artificial que responde consultas e pesquisas (como “quais restaurantes estão nas proximidades”), e a Smart Reply, que analisa como um usuário escreve e gera respostas prováveis para as mensagens que receber. O aprendizado de máquina que impulsiona estes recursos reside em servidores do Google e precisa acessar o conteúdo das conversas para “aprender” ao longo do tempo e personalizar serviços. Assim, ainda que este modo menos seguro seja criptografado em trânsito, não usa criptografia ponta-a-ponta, dando ao Google acesso ao conteúdo das mensagens que passam sem criptografia por seus servidores.

O modo “anônimo” do Allo fornece criptografia ponta-a-ponta, usando um fundo mais escuro para distingui-lo do modo padrão. As mensagens enviadas neste modo não são legíveis nos servidores do Google e podem ser programadas para autorremoção do seu telefone depois de um determinado período de tempo. Os recursos Google Assistant e Smart Reply, que dependem do acesso ao conteúdo da mensagem pelo Google, não funcionam no modo “anônimo”.

Esta configuração pode ser conveniente para alguns usuários, mas, em última análise, é perigosa para todos. Aqui está o porquê.

O que “anônimo” realmente significa?

O termo “anônimo” é um pouco enganador. Alguns usuários podem já estar familiarizados com ele graças ao modo de navegação anônima do navegador Google Chrome. Mas o “anônimo” do Chrome e o “anônimo” do Allo se referem a duas situações de segurança dramaticamente diferentes.

No Chrome, o modo de navegação anônima significa que sua atividade não é armazenada no histórico do navegador (sua atividade, no caso, inclui páginas visitadas, cookies armazenados, buscas realizadas e assim por diante). Não se trata, no entanto, de alterar a forma como seu tráfego é criptografado externamente, o que significa que seu provedor de internet ainda pode saber os sites que você visita.

No Allo, a atividade no modo anônimo tem criptografia ponta-a-ponta; ninguém pode ler suas mensagens, exceto você e o destinatário. Conversas anônimas no Allo, no entanto, são armazenadas em seu dispositivo por um determinado período de tempo depois de enviadas, diferente do que acontece com o histórico de navegação no modo anônimo do Chrome.

A decisão do Google de usar o mesmo termo para estes dois conjuntos muito diferentes de garantias de segurança pode fazer os usuários não compreender ou subestimar a criptografia ponta-a-ponta do Allo ou, pior ainda, superestimar o modo de navegação anônima do Chrome e se expor a mais riscos do que o termo “anônimo” sugere.

Não é um sistema à prova de confusão

Misturar criptografia ponta-a-ponta com opções menos seguras de mensagem dentro do mesmo aplicativo possibilita erros perigosos. Ainda que o Allo diferencie os dois modos com cores de fundo distintas, a possibilidade de ter conversas com o mesmo contato no modo padrão e no modo “anônimo” torna mais fácil clicar acidentalmente na trilha errada. O passado sugere que uma combinação como esta de modos de comunicação levará usuários a enviar inadvertidamente mensagens confidenciais sem criptografia ponta-a-ponta. Um aplicativo de mensagens que pretende ser seguro precisa tomar medidas em termos de design para tornar este tipo de erro quase impossível; o Allo o torna muito fácil.

Ensinando as lições erradas sobre criptografia

Oferecer conversas com criptografia ponta-a-ponta como uma alternativa cômoda e ocasional em comparação ao padrão de conversas menos seguras ensina aos usuários lições perigosas sobre o que é criptografia e para que serve. O Allo incentiva os usuários a criptografar suas mensagens quando querem enviar informações “privadas” ou “secretas”, o que os usuários podem interpretar como dados sensíveis, obscuros ou embaraçosos. Se a criptografia ponta-a-ponta for um recurso que você usa quando quer esconder ou proteger alguma coisa, então o simples ato de usar esta forma de criptografia funciona como uma bandeira vermelha: “Olhe aqui! Informação valiosa, sensível, digna de ser escondida por aqui!”

Isto é importante tanto no nível individual, como no nível coletivo. Para um indivíduo, criptografar tudo está entre as melhores maneiras de proteger suas comunicações. Se você só criptografar suas mensagens quando enviar informações de cartão de crédito ou sexts escandalosos, então um hacker ou espião sabe exatamente por onde começar a procurar dados valiosos ou comprometedores. Da mesma forma, se você usar criptografia somente quando estiver organizando um protesto ou coordenando ativistas, o fato de que você de repente ativou a criptografia é potencialmente útil para um adversário ligado ao Estado ou qualquer pessoa com capacidade de interceptação. No entanto, se você criptografar todas as suas mensagens, então será muito mais difícil para um intruso distinguir conversa fiada de conversas importantes.

Criptografar todas as suas comunicações também protege outras pessoas. A criptografia é vital para grupos de usuários visados ou marginalizados, incluindo jornalistas, ativistas e sobreviventes de violência doméstica. Se eles forem as únicas pessoas que usam criptografia, então suas comunicações chamarão ainda mais atenção. Mas se todos usarem criptografia como padrão automático, alvos potenciais de vigilância potenciais serão mais difíceis de detectar.

O uso em massa de criptografia protege as pessoas que mais precisam. Mesmo se você achar que não tem nada a ocultar, criptografar suas comunicações ajuda a proteger aqueles que têm algo a esconder. Ao ensinar usuários a usar criptografia como medida ocasional para proteger comunicações especialmente sensíveis e não como um padrão rotineiro, o Allo pode ajudar usuários que não necessitam de criptografia com o risco de prejudicar aqueles que dela precisam.

Alternativas mais eficazes

Em vez de misturar a criptografia ponta-a-ponta com opções menos seguras no mesmo aplicativo, o Google poderia oferecer dois aplicativos separados: um menos seguro com serviços de aprendizagem de máquina e outro mais seguro com criptografia ponta-a-ponta confiável e fácil de usar.

Alternativamente, o Google poderia oferecer opções para tornar o Allo um aplicativo seguro por padrão. Tornar a criptografia ponta-a-ponta automática e auto-excluir todas as conversas em todos os casos, por exemplo, daria aos usuários a opção de ter um aplicativo à prova de confusão.

Este tipo de segurança não deveria ter que depender da iniciativa do usuário, no entanto. Um aplicativo de mensagens mais responsável tornaria a segurança e a privacidade – não o aprendizado de máquina e a inteligência artificial – o padrão. Esperamos que o Google decida aceitar esta responsabilidade.

Artigo AnteriorPróximo Artigo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

oito + quinze =