Seis 10 anos. É esse o tempo que a Apple está focando em privacidade e segurança. Ou, pelo menos, o departamento de relações públicas deles.
Desde 2014, a empresa mais lucrativa do mundo tem tentado se diferenciar de seus rivais se apresentando como a opção mais privada e segura. Esse é realmente o caso, ou sua virtude sinalizadora é meramente superficial?
Vou ser claro desde o início. Esta não é uma comparação entre Apple e Google. Isso não seria justo, já que o modelo de negócios do Google depende inteiramente da mineração de dados do usuário. Dito isso, nunca fui fã de argumentos do “menos mal”. Aqui, olho para a Apple no vácuo. Mais ou menos.
Lembra de 2014? Antes do mero conceito de uma presidência de Trump polarizar o mundo inteiro? Quando tudo com que tínhamos que nos preocupar era Ebola, ISIS e a Rússia anexando a Crimeia? Que tempos mais simples.
2014 também foi quando a Apple reconheceu pela primeira vez a necessidade de se concentrar em privacidade e segurança, depois que inúmeras celebridades tiveram suas contas do iCloud hackeadas e seus nus vazaram – geralmente chamados de “The Fappening”. Naquele mesmo ano, a Apple adquiriu a Beats By Dr. Dre. Ambos os eventos aconteceram em agosto.
Tim Cook entendeu claramente como esses eventos poderiam afetar a imagem da marca Apple, o que seria particularmente prejudicial para o próximo lançamento do Apple Pay, daqui a alguns meses. Então, ele adicionou uma nova seção de privacidade ao site da Apple, repleta de clichês, incluindo sua famosa citação “se você não está pagando por um produto, então você é o produto”.
No entanto, eles levaram um ano inteiro para acertar completamente seu plano de relações públicas.
A máquina de relações públicas da Apple
Em 29 de setembro de 2015, o The Washington Post publicou um artigo intitulado “Como a Apple está tentando proteger sua privacidade à medida que seus produtos se tornam mais pessoais”. Mais especificamente, eles estavam se referindo ao aplicativo Apple News recém–anunciado – que selecionava histórias com base em suas preferências.
Naturalmente, os usuários preocupados com a privacidade tendem a ficar agitados sempre que as palavras “preferências”, “recomendações” ou “personalizado” são pronunciadas. Para contornar isso, a Apple “renovou” sua política de privacidade e o The Washington Post a “revisou” para ver como a Apple tentou “expor como sua filosofia sobre coleta de dados a diferencia de seus rivais da indústria de tecnologia”. Leia: Nós não somos o Google, o gigante da publicidade por trás do Android. O artigo continua: “a empresa está dizendo aos clientes que não está interessada em seus dados pessoais”.
A Apple continuou plantando essas sementes lentamente na mente de seus fãs nos meses seguintes. Tudo isso rapidamente chegou à atenção da mídia em fevereiro de 2016, quando o FBI pediu ajuda à Apple para obter acesso ao iPhone 5C que pertencia ao atirador de San Bernardino. Claro, não é inédito para o governo fazer tal demanda. Google e Facebook também recebem ordens judiciais semelhantes, para histórico de pesquisa ou e-mails. Essas são decisões tomadas caso a caso.
O que foi estranho sobre o caso de San Bernardino foi que o FBI foi além de pedir acesso. Eles pediram à Apple para criar uma nova versão do iOS com segurança mais fraca, para que o governo pudesse invadi-la por força bruta. Ou, adicionar diretamente um backdoor do governo ao iOS. Isso certamente é sem precedentes e assustador. Claro, a Apple recusou. O FBI então foi em frente e contratou um monte de hackers para entrar no telefone, como provavelmente fariam de qualquer maneira, tornando todo o escândalo e a postura da Apple bastante irrelevantes.
Agora, eu não sou fã de pensamento conspiratório, mas mesmo naquela época eu achei estranho quanta atenção da mídia aquela história estava recebendo. Claro, provavelmente foi totalmente orgânico. Afinal, certamente não há falta de paixão e fanatismo por trás da Apple. Mas um comentário feito mais tarde pelo diretor do FBI, James Comey, me fez repensar isso. Depois de obter uma ferramenta dos hackers mencionados acima, Comey sentiu a necessidade de esclarecer que esta ferramenta só funciona “em uma pequena parcela de iPhones”. Essencialmente, ele garantiu ao público que os modelos de iPhone mais novos com um sensor de impressão digital não podem ser acessados por esta ferramenta.
Não estou dizendo que não haja uma explicação perfeitamente lógica para o motivo pelo qual a ferramenta não funcionaria em iPhones mais novos. Minha pergunta é: por que o diretor do FBI estaria preocupado em tranquilizar os usuários de iPhone sobre a segurança de seus dispositivos? Ou até mesmo encorajá-los a atualizar para modelos mais novos? Qualquer criminoso não faria isso simplesmente para evitar a possibilidade de o FBI invadir seu telefone? Depois, houve a alegação da NSA de que eles não podem hackear iPhones porque os “caras maus” simplesmente não os usam. Essa não é apenas uma noção boba, mas também uma coisa muito estranha de se dizer pela NSA. Se alguma coisa, espelha estranhamente o sentimento da Apple em relação a não permitir que bandidos em filmes usem dispositivos Apple, para remover qualquer efeito subconsciente que isso possa ter em seus usuários.
Parece-me provável que o FBI tenha sido incentivado a atingir a Apple com uma demanda mais severa do que o normal, para fazer a Apple parecer a boa moça por se recusar a obedecer e defender a privacidade de todos. Muitas histórias desse tipo aconteceram desde 2015. Uma semelhante parece estar acontecendo agora em 2020, com agências de publicidade online supostamente irritadas com a Apple pelas novas mudanças de privacidade implementadas no iOS 14. Este tipo de estratégia de relações públicas sutil e genial é algo que só a Apple seria capaz de realizar.
O histórico
Agora você deve estar se perguntando, compreensivelmente, por que sou tão cínico. Isso porque a realidade das práticas de privacidade e segurança da Apple não condiz com tudo isso de relações públicas. Para começar, a Apple também vende anúncios. Eles fazem isso há mais de uma década. No entanto, eles o fazem em uma escala muito menor e apenas dentro de seu ecossistema. Especificamente na App Store e no aplicativo Notícias.
E apesar de seu recente “escândalo reverso” em relação à publicidade direcionada, seus anúncios também são baseados em interesses. Claro, você pode optar por não participar, como é o padrão do setor. Mas como também é padrão do setor, essa opção está enterrada nas configurações, em algum lugar que a maioria dos usuários provavelmente nunca verá. Tanto para querer ser “mais transparente sobre o rastreamento de dados no iOS 14”, hein, Apple?
Falando nisso, seus esforços recentes no iOS 14 e no Safari – para exigir consentimento antes do rastreamento no primeiro caso ou bloqueá–los inteiramente no último – se aplicam apenas a rastreadores de terceiros. O que significa que os próprios aplicativos e serviços da Apple ainda podem rastreá-lo sem serem bloqueados ou mesmo exigindo consentimento. E você pode dizer que não se importa que a Apple rastreie você e tenha tantos dados sobre você, e que eles usam esses dados para mostrar anúncios mais relevantes para você. Afinal, se você confia na Apple para manter seus dados seguros, suponho que não seja tão ruim. Embora ainda seja hipócrita.
Infelizmente, as alegações de segurança da Apple – ou seja, sua capacidade de manter seus dados seguros em seu ecossistema – também são bastante frágeis. No momento em que este artigo foi escrito em 2020, existem mais de 4.500 vulnerabilidades de segurança afetando dispositivos Apple que foram publicadas no CVE (Vulnerabilidades e Exposições Comuns), 1.655 delas afetando o iOS especificamente. Claro, muitos desses exploits têm como alvo versões mais antigas do iOS e macOS, mas muitos também têm como alvo as versões atuais. Não é incomum que tantas vulnerabilidades de segurança sejam ignoradas pela empresa responsável por corrigi-las. Mas isso vai contra sua postura altamente divulgada sobre privacidade e segurança. Especialmente quando muitos deles prejudicam a privacidade de seus usuários e a segurança de seus dados.
Recentemente, cobri um exemplo de tais exploits que permitiram que aplicativos iOS obtivessem o que quer que estivesse na área de transferência sem qualquer tipo de consentimento do usuário, sem nem mesmo ter nenhuma necessidade justificável para isso. Muitos jogos e aplicativos de notícias, sem nenhuma capacidade de inserir texto neles, estavam bisbilhotando a área de transferência do iOS. Para piorar as coisas, se você tivesse a área de transferência universal habilitada, esses aplicativos também podiam espionar a área de transferência do seu macOS. Esta vulnerabilidade foi relatada à Apple em janeiro de 2020. A Apple respondeu dizendo que não via nada de errado com isso, chamando-o de “comportamento pretendido”. A Apple agora corrigiu a vulnerabilidade em seu próximo lançamento do iOS 14, com lançamento previsto para o outono. Mas eles não impediram o comportamento ou implementaram qualquer forma de controlá-lo. Agora eles simplesmente alertam o usuário quando isso acontece. Viva a transparência!
Outro exemplo de 2020 é a vulnerabilidade do aplicativo Mail que permitiu que agentes mal-intencionados tivessem acesso completo aos seus e-mails, simplesmente enviando um e-mail especialmente criado para você. Versões do iOS desde o iOS 6 são vulneráveis. Não se sabe se as versões anteriores também são vulneráveis. A Apple minimizou a gravidade desse exploit e afirmou que não havia evidências de que ele estivesse realmente sendo usado no mundo real. O grupo que descobriu a vulnerabilidade, ZecOps, respondeu dizendo que na verdade foi “amplamente explorado”, em lugares como Japão, Alemanha, Arábia Saudita e Israel. Suas descobertas afirmam que este é um ataque de “estado-nação”, sendo usado para atingir e monitorar pessoas ou grupos de interesse. A ZecOps não sugeriu que a Apple tivesse deixado voluntariamente uma porta dos fundos aberta para esse propósito. Em vez disso, eles especulam que os estados-nação compraram o exploit de um pesquisador terceirizado.
O mito das atualizações
Isso pode parecer um pouco fora do tópico, mas também preciso abordar o mito de que os dispositivos da Apple têm suporte por muito mais tempo do que qualquer outro. Se você já possuiu um dispositivo Apple e era tão geek quanto eu, provavelmente acompanhou os anúncios de novos recursos nas próximas versões do iOS. Só para então instalar a atualização quando ela chegar e perceber que vários desses recursos não estão lá. O que da?
Bem, apesar da longa lista de “dispositivos suportados” que a Apple exibe com tanto orgulho sempre que lança uma nova versão de software, o que eles convenientemente se esquecem de apontar é que não estão falando sobre 100% de suporte. Muitos dos novos recursos que vêm nas novas versões do iOS não são compatíveis com dispositivos mais antigos. Portanto, antes que alguém se gabe de como o iPhone SE receberá a atualização do iOS 14, você pode querer verificar o quanto dessa atualização está realmente chegando ao iPhone SE.
E sim, eu sei que é uma questão de hardware que esses dispositivos não possuem. Eu só acho incrivelmente enganoso afirmar que esses dispositivos são suportados e então tornar incrivelmente tedioso, senão impossível, descobrir exatamente o quanto da nova versão do iOS você receberá. Para piorar as coisas, você nem consegue encontrar essas informações online. Você não encontrará nenhum artigo cobrindo quais recursos estariam faltando em uma atualização para um dispositivo específico. Por outro lado, você encontrará muitas menções de como um dispositivo de 5 ou 6 anos ainda tem suporte. Chame isso de mágica da Apple!
Este é mais um golpe de gênio de relações públicas da Apple. Eles dão a todos a percepção de que seus dispositivos permanecerão no topo de linha por 5 ou 6 anos, enquanto se recusam a ter a difícil e diferenciada discussão sobre como esse “suporte” não é totalmente o que eles afirmam ser.
Do lado do Android, a linha Pixel do Google recebe atualizações por quatro sete anos. Obviamente, são maçãs com laranjas, perdoe o trocadilho, mas as atualizações do iOS podem até ser consideradas “atualizações do sistema operacional” se incluírem apenas um ou dois novos recursos? Além disso, o Android é extremamente diverso em termos de conjunto de recursos. Cada OEM lança sua própria versão do Android, com quantos ou poucos recursos adicionais próprios.
A Samsung, por exemplo, é conhecida por incluir o máximo de recursos especiais, às vezes muito úteis, que podem, mas também são notoriamente ruins com atualizações. Não apenas os dispositivos Samsung costumam levar seis meses para receber uma nova versão do Android, mas eles só fazem isso por dois quatro anos. São duas quatro versões do Android e pronto. E isso só se aplica aos dispositivos principais da Samsung. Seus dispositivos mais baratos geralmente têm a sorte de receber uma única atualização do sistema operacional.
Acho que o que estou tentando dizer é que não é tão simples como dizer “os dispositivos Apple recebem atualizações por 5 anos e os Androids recebem apenas 2”
Jailbreaking
Tradicionalmente, aqueles que queriam fazer o jailbreak de seus dispositivos tinham que estar cientes de sua versão do iOS, modelo de dispositivo e até mesmo seu SoC. Diferentes exploits tinham como alvo diferentes combinações, e qualquer atualização poderia desfazer instantaneamente seu jailbreak e torná-lo impossível de fazer novamente. Até agora.
Em setembro de 2019, o hacker do iOS aci0mX descobriu uma vulnerabilidade que permitia que dispositivos iOS desde o iPhone 4 de 2010 fossem desbloqueados, independentemente de sua versão do iOS ou SoC. Outro usuário do Twitter também havia encontrado essa vulnerabilidade em março de 2019, mas só conseguiu explorá-la em certos dispositivos. A vulnerabilidade foi corrigida no iOS 13.5.1 em 1º de junho de 2020. Isso é mais de um ano depois de ser descoberta e explorada na natureza.
Agora, para ser claro, não estou chateado com o jailbreak em si. Eu acho ótimo, pessoalmente, se libertar de muitas das restrições da Apple. Do ponto de vista da segurança, no entanto, o jailbreak é um grande negócio. Os exploits de jailbreak funcionam encontrando maneiras de minar a segurança do iOS e implementar suas próprias alterações de código. Portanto, quando há uma vulnerabilidade que permite que qualquer pessoa rompa a segurança da Apple e essa vulnerabilidade afeta potencialmente todos os iPhone já feitos, isso é alarmante.
Na maioria dos casos, o jailbreak é usado para personalizar o dispositivo e adicionar recursos. Mas como seu iPhone agora é muito menos seguro, não é surpresa que ele também se torne vulnerável a uma miríade de ataques.
Claro, sempre haverá aquele cara que diz “simplesmente não faça isso. Simplesmente aprenda a conviver com as restrições extremas da Apple. Alguém que passa pelo complexo processo de jailbreak deve estar ciente de que seu dispositivo agora é menos seguro e deve ter cuidado extra de acordo. Ou sofrer as consequências. ” Se você é esse cara, antes de tudo, você não está errado. Mas aqui está minha resposta: e se outra pessoa fizer o jailbreak do seu dispositivo sem seu conhecimento? A pior parte sobre um ecossistema fechado é que você nem consegue descobrir se seu dispositivo foi adulterado, como Vice explorou em um artigo de maio de 2019.
O perigo dos jardins murados
“Os bandidos encontrarão um caminho de uma forma ou de outra. Não deveríamos permitir que os mocinhos façam seu trabalho?” – Zuk Avraham, fundador da ZecOps.
O problema com sistemas fechados é que a Apple detém o controle absoluto. Esse tipo de centralização extrema nunca é uma boa ideia. Um único ponto de falha é uma vulnerabilidade. A Apple não é perfeita, nem devemos esperar que seja. Então, por que eles são os únicos que podem diagnosticar e consertar problemas?
Em contraste, os sistemas de código aberto lançam seu código publicamente, permitindo que qualquer pessoa o analise de forma independente, encontre falhas e até mesmo envie correções ou melhorias. É aqui que o Android realmente brilha – e não me refiro à versão que vem com o seu telefone. O Android, como vem da Samsung, Sony ou mesmo Google ou qualquer outro OEM, embora ainda seja muito mais aberto do que a Apple, ainda depende muito do que o OEM decidiu que seria melhor implementar.
O simples fato de o Android ser de código aberto permite que você faça qualquer alteração no dispositivo que possui, incluindo a implementação da máxima proteção de segurança e privacidade. A personalização do Android costuma ser divulgada como um ponto de discussão para fãs, mas a maioria das pessoas realmente não sabe o quão profundo isso é. Nos dias do KitKat, o Android incluía um gerenciador de permissões surpreendentemente útil chamado AppOps – muito superior a qualquer coisa oferecida pelo sistema operacional hoje. Por alguma razão, o Google removeu o acesso a ele, tornando possível apenas acessá-lo com root (isso é jailbreak na linguagem do Android) e uma interface de linha de comando.
Ou seja, até que a comunidade CyanogenMod nos trouxe o Privacy Guard, que nada mais era do que uma interface para ser capaz de usar o sistema de gerenciamento de permissões integrado. Era super básico e fácil de usar. Ele mostrava a frequência com que cada aplicativo usa cada permissão, tornando-o uma dádiva de Deus para descobrir qual aplicativo chato está consumindo sua bateria (dica: provavelmente é o Facebook). Se o Android fosse bloqueado tão rigidamente quanto o iOS, isso nunca teria sido possível. Quando a Apple remove o acesso a um recurso, ele desaparece para sempre.
Então veio o XPrivacy, uma abordagem muito mais avançada, granular e personalizável para o gerenciamento de permissões. Curiosidade, ele permitia que você impedisse os aplicativos de acessarem sua área de transferência em 2014. Também permitia bloquear o acesso a outras coisas, como acesso à Internet, o que era uma ótima maneira de impedir que aplicativos offline, incluindo jogos, exibissem anúncios ou enviassem de volta dados sobre você.
Outro aplicativo, talvez mais tabu, para mencionar é o Lucky Patcher. É amplamente associado à sua capacidade de piratear aplicativos e obter coisas grátis dentro deles, mas meu recurso favorito sempre foi a capacidade de ver todos os diferentes componentes de cada aplicativo e desabilitar aqueles que você quisesse. Isso era ótimo quando eu usava o Facebook. Permitiu-me desabilitar qualquer coisa que mencionasse “telemetria” ou “anúncio”, reduzindo sua capacidade geral de me identificar. Também usei o LP para desabilitar GIFs do meu teclado, porque eu nunca os usei, então eu também poderia recuperar a RAM que estava sendo usada por esse recurso.
Esses são apenas exemplos simples de aplicativos e ajustes que podem aumentar sua privacidade, possibilitados pela natureza de código aberto do Android. Não é o suficiente? Você pode até fazer sua própria versão do Android, permitindo apenas o que você quiser e nada mais. Faça com que ele use seus próprios servidores para sincronizar contatos, por exemplo, em vez dos do Google ou da Apple.
Se você não sabe codificar, tudo bem também. Existem muitas ramificações do Android, chamadas ROMs. Muitas dessas ROMs são focadas em privacidade e segurança desde o início, tornando-as uma opção muito melhor do que qualquer iPhone ou dispositivo Android que você possa comprar de um OEM. Projetos como GrapheneOS, CalyxOS e /e/.
Esses são todos projetos de hobby de entusiastas, então não espere um polimento de nível OEM. Dito isso, alguns como /e/ e iode fizeram um ótimo trabalho em se tornarem bastante fáceis para o usuário médio começar a usar. Alguns até vendem dispositivos recondicionados com sistema operacional amigável à privacidade pronto para uso, eliminando o incômodo do processo de instalação para usuários não técnicos.