Novo recurso do iOS 14 escancara problema de privacidade de outros sistemas

Após a revelação de que aplicativos no iPhone acessavam com frequência exagerada os conteúdos na área de transferência, a Apple incluiu uma nova notificação no iOS 14 que avisa o usuário quando um app acessou informações copiadas no celular. Apesar da cobertura sobre os programas no iOS que abusavam do recurso, as revelações podem indicar motivos para preocupação em quem utiliza outros sistemas, como o Android, o Windows e até o macOS.

• DuckDuckGo Browser | Privacidade e simplicidade sem muita firula [análise]
• WWDC 2020 | Navegador Safari recebe controles de privacidade aprimorados

Para que serve a área de transferência

Resumidamente, a área de transferência (ou clipboard, no nome em inglês) é o recurso dos sistemas operacionais que possibilita o "copiar e colar" — o bom e velho "CTRL+C, CTRL+V".

A ferramenta funciona como um depósito para que o usuário possa transferir informações — textos e arquivos em geral — entre diferentes apps ou janelas no sistema.

Além de servir para, por exemplo, copiar o trecho de um PDF para um e-mail ou um meme no navegador para uma conversa no WhatsApp, o recurso pode ser usado por apps para monitorar informações úteis. Um aplicativo de agenda sugerir registrar um novo compromisso ao copiar um horário, um serviço de mapas ou caronas oferecer uma rota ao detectar um endereço, o netbanking identificar um código de boleto e ir direto à tela de pagamento etc.

Onde mora o perigo

O estudo feito no iOS pelos pesquisadores Talal Haj Bakry e Tommy Mysk revelou que alguns aplicativos abusavam sem motivo aparente do acesso à área de transferência. A nova notificação incluída no iOS 14 — creditada pela Apple à pesquisa divulgada pela dupla — ajudou a flagrar pelo menos 50 aplicativos fuçando a área de transferência, incluindo nomes de peso como TikTok e LinkedIn.

Apesar de o objetivo alcançado no iOS, os pesquisadores levantaram uma importante questão. E quanto aos aplicativos em outros sistemas operacionais?

A preocupação se explica porque o acesso dos apps à área de transferência é praticamente livre, independente do sistema operacional. A partir do iOS 9 e do Android 10, apenas aplicativos em exibição na tela podem usar o recurso. A única diferença é que, a partir do iOS 14, o usuário terá um alerta visual, ou seja, quando aparecer a notificação, o aplicativo já leu os conteúdos copiados — nos outros sistemas, nem isso.

Em Windows, macOS e versões anteriores dos sistemas para celular, apps em segundo plano — que muitas vezes foram abertos sem o consentimento do usuário — podem ler os conteúdos da área sem que ninguém saiba.

Para ter noção do perigo, imagine que comumente copiamos informações como número do cartão de crédito, senhas, número do CPF e endereços para facilitar a transferência de informações de uma tela para outra no celular.

Por esse motivo, alguns aplicativos de gerenciamento de senha, como o 1Password e o KeePass (independentemente do sistema operacional), apagam os dados copiado da área de transferência após um tempo. Assim, diminuem a chance de que um aplicativo mal intencionado tenha acesso a eles.

Como evitar problemas

Sem que o iOS, Android, Windows, macOS ou outro sistema adotem opções que permitam ao usuário restringir o recurso a alguns apps, a melhor precaução para evitar o acesso aos seus dados pessoais é instalar apenas aplicativos confiáveis no celular ou no computador.

Outra sugestão é limpar o conteúdo da área de transferência após colar informações sigilosas, ou então copiar um texto qualquer (uma letra A, por exemplo) para substituí-las. No iOS e no Android 10 (ou versões posteriores), a ação impede que outros aplicativos enxerguem os dados utilizados.

Para evitar o acesso de outros apps às senhas usadas em páginas da internet, uma possibilidade é utilizar o armazenamento de contas do navegador. Os principais programas para celular e PC incluem o recurso, que não deixa as combinações disponíveis para outros aplicativos. Além disso, a solução oferece vantagens como sincronização entre dispositivos.

• Novos iOS e macOS alertarão sobre senhas fracas ou vazadas
• Nova ferramenta do Google reconhece senhas repetidas e fracas
• Firefox é atualizado e aprimora armazenamento e sugestão de senhas
• Microsoft Edge vai avisar quando uma senha sua vazar na web

Para quem usa o Android a partir da versão 6, é possível instalar um aplicativo não oficial — por sua conta e risco — o Private Clipboard. Ele cria uma área de transferência à parte da original que não pode ser acessada pelos apps sem o consentimento do usuário. A solução tem alguns inconvenientes, já que o aplicativo exige que um texto copiado seja colado por cima de uma palavra ou frase selecionada, o que exige alguns passos a mais em cada uso. Além disso, como o Private Clipboard adiciona opções ao menu de contexto do Android, ele não é compatível com alguns aplicativos que usam menus personalizados.

O Android até possui um controle de permissões de acesso à área de transferência, mas a opção só pode ser alterada com o uso de um computador para desligar — manual e individualmente — o recurso nos aplicativos com uma série de comandos avançados.

Algumas distribuições independentes do Android, caso do LineageOS com o Privacy Guard, oferecem um painel em que é possível desativar o acesso dos apps ao clipboard. Mesmo assim, a exibição da opção geralmente exige uma configuração só disponível com acesso de administrador ao sistema (root), o que novamente torna a solução inviável para boa parte dos usuários.

No mundo ideal (talvez)

Uma alternativa para limitar o acesso abusivo de aplicativos à área de transferência foi proposta anos atrás, muito antes do relatório que iniciou a atual discussão. A sugestão envolve a criação de (mais) uma permissão de sistema para apps, específica para acesso à área de transferência.

A mesma ideia já funciona na web, em que sites que pretendam acessar o recurso (tanto para copiar quanto para colar) precisam pedir antes a autorização do usuário. Entre os motivos listados para essa burocracia está justamente uma preocupação com a segurança, diminuindo as chances, por exemplo, de que um site envie uma imagem que dispara um bug para invasão por hackers ou um comando para apagar pastas e arquivos.

Fonte: Mysk, HowToGeek, TheNextWeb