Apps que se conectam ao Gmail e Facebook podem comprometer a segurança do usuário

• 0

No domingo (23), o New York Times revelou, em um perfil de Travis Kalanick, CEO do Uber, que a empresa, como parte da sua agressiva disputa por mercado, obtinha recibos de rivais como o Lyft através de dados vendidos pela Unroll.me, um serviço que promete limpar a caixa de entrada de newsletters e malas direta indesejadas. A notícia evidenciou o risco existente ao conectar serviços de terceiros ao e-mail e redes sociais.

Newsletters, cadastros de lojas, malas direta... sem se dar conta, é comum ter a caixa de entrada abarrotada de mensagens automáticas. O Unroll.me promete automatizar e facilitar o processo de remoção dessas mensagens.

Ao se cadastrar no Unroll.me, o serviço requisita acesso ao e-mail que será limpo. A forma de acesso consiste em uma espécie de permissão, concedida de dentro do e-mail, a fim de dispensar a exposição da senha desse a terceiros. Os direitos concedidos variam – no caso do Unroll.me, ele obviamente precisa ler as mensagens para determinar o que é e-mail automático e proceder com o cancelamento.

O mesmo princípio é usado por alguns outros serviços grandes, como Facebook e Twitter. Embora cômodo e, de certa forma, seguro, pois não expõe a senha desses, o sistema de permissões cria vetores de ataque em potencial e abre espaço comportamentos inesperados.

O caso do Unroll.me é exemplar nesse sentido. O serviço foi lançado em 2011, sem qualquer investimento externo. No final de 2014, foi adquirido pela Slice, empresa especializada em varejo online e rastreamento de encomendas que, meses antes, havia sido comprada pela Rakuten, uma gigante japonesa do e-commerce.

À época, o Unroll.me não tinha modelo de negócio. Com a aquisição pela Slice, fez-se um: vender dados anonimizados dos usuários para terceiros. Com isso, empresas como o Uber conseguem comprar tais dados e analisar palavras-chave e recibos que os usuários do Unroll.me receberam por e-mail, o que ajuda a entender padrões de comportamento e refinar estratégias comerciais e de marketing.

Logo após a publicação da matéria do New York Times, Jojo Hedaya, fundador e CEO do Unroll.me, usou o blog oficial do serviço para se defender. Dizendo estar com “o coração partido” pelo fato de alguns usuários estarem indignados com o modelo de negócio, ele garantiu que “todos os dados são completamente anônimos e relacionados apenas a compras,” e comprometeu-se a deixar mais transparentes esses detalhes em áreas menos obscuras – atualmente, o modelo consta nos termos de uso e na política de privacidade, locais que o próprio Hedaya admitiu que não costuma ler nos serviços que assina.

Qual o problema?

Ao dar permissão para que apps e serviços de terceiros acessem suas contas de e-mail e redes sociais, é como se uma pequena brecha fosse feita na segurança delas. Em geral, essa brecha se limita a permitir que o app ou serviço consiga desempenhar determinada sua função. Tinder, Happn e outros apps de relacionamento que confiam no grafo social do Facebook, por exemplo, precisam confirmar a identidade, saber as suas curtidas e os amigos para exibir quais o usuário tem em comum com os demais.

O problema dessa abordagem é que a brecha não tem prazo de validade e eventos inesperados podem ocorrer enquanto ela permanece aberta. Voltando ao Unroll.em: após a aquisição e a implementação do novo modelo de negócio, a permissão passou a servir para outra finalidade diversa da explicitada antes – de apenas descadastrar o usuário de e-mails automáticos para garimpar e vender seus padrões de consumo ao terceiro que pagar mais.

Invasões a esses serviços externos também pode ter efeitos desastrosos. Imagine um jogo que peça permissão para publicar no Facebook ou Twitter a fim de divulgar recordes ou conquistas. Se ele for comprometido, um terceiro conseguirá publicar qualquer conteúdo nos perfis dos usuários, não só o que o jogo informou previamente.

Esse sistema de permissão, ou autorização, na terminologia técnica, é vantajoso por permitir o acesso restrito a funções específicas e não expor a senha dos usuários. E é cômodo, também. Se bem gerenciado, acaba sendo mais seguro do que inserir senhas para conectar apps e serviços. Por ora, cabe ao usuário, porém, revisitar tais configurações para garantir que nada estranho ou que não esteja mais em uso continue tendo permissão.

Como revogar permissões no Google, Facebook e Twitter

Para verificar quais apps e serviços têm acesso à sua conta no Google (válida para Gmail, Google Drive e dispositivos Android, entre outros), entre neste site: https://myaccount.google.com/permissions e insira seu e-mail e senha.

Uma lista aparecerá. Ao lado de cada item, o Google informa quais direitos o referente app ou serviço tem. Para remover algum, clique/toque nele e, em seguida, no botão “Remover.”

No Facebook, o endereço é https://www.facebook.com/settings?tab=applications ou, nos apps para celular, toque no ícone dos três riscos, depois em Configurações, Configurações da conta, Aplicativos e, por fim, Conectado com o Facebook. Ali, basta clicar/tocar no “X” referente ao item que deseja revogar na web ou, nos apps, tocar nele, rolar a página até o final e tocar em “Remover aplicativo”.

No Twitter, a lógica é a mesma, porém só é possível visualizar e editar as permissões pela web. O endereço dos apps com permissão é https://twitter.com/settings/applications. Para remover um, apenas clique/toque no botão “Revogar acesso” correspondente.

Aplicativos que tenham a permissão revogada podem ser adicionados novamente no futuro.