Print da tela de configuração do modo confidencial do Gmail.

Os problemas do “modo confidencial” do Gmail

Por and
24/7/18, 16h39 6 min Comente

Logo da EFF.A Electronic Frontier Foundation é uma organização norte-americana sem fins lucrativos que defende a liberdade e os direitos civis no mundo digital. O Manual do Usuário traduz conteúdo selecionado do blog da fundação — matérias pertinentes sobre temas importantes.


Com o novo design do Gmail chegando a mais usuários, muitos deles tiveram a chance de testar seu novo “modo confidencial”. Embora muitos de seus recursos sejam promissores, “Modo confidencial” não oferece confidencialidade. Na melhor das hipóteses, o novo modo cria expectativas que falha em atender acerca da segurança e privacidade do Gmail. Tememos que o Modo Confidencial diminuirá as chances de que os usuários encontrem e usem alternativas de comunicação mais seguras. E, na pior das hipóteses, o Modo Confidencial impulsionará os usuários ainda mais para o jardim murado do Google, ao mesmo tempo em que oferece a eles o que acreditamos ser garantias enganosas de privacidade e segurança.

Com seu novo Modo Confidencial, o Google pretende permitir que você restrinja o modo como os e-mails que você envia podem ser visualizados e compartilhados: o destinatário do seu e-mail no Modo Confidencial não poderá encaminhar ou imprimi-lo. Você também pode definir um “prazo de validade”, no qual o e-mail será excluído da caixa de entrada do destinatário, e até mesmo exigirá um código enviado por SMS como uma camada adicional de segurança para que o e-mail possa ser visualizado.

Infelizmente, cada um desses recursos de “segurança” apresenta sérios problemas de segurança para os usuários.

DRM para e-mail

É importante observar desde o início que, como os e-mails do Modo Confidencial não são criptografados de ponta a ponta, o Google pode ver o conteúdo de suas mensagens e ter capacidade técnica para armazená-los indefinidamente, a despeito de qualquer “prazo de validade” definido. Em outras palavras, o Modo confidencial fornece confidencialidade zero em relação ao Google.

Mas, apesar da falta de criptografia de ponta a ponta, o Google promete que, com o Modo Confidencial, você poderá enviar e-mails que não podem ser impressos, encaminhados e copiados, graças a algo chamado “Information Rights Management” (IRM), termo cunhado pela Microsoft mais de uma década atrás. (A Microsoft também usa o termo “Azure Information Protection”.)

O IRM funciona assim: as empresas criam uma versão bloqueada de um produto que verifica documentos em busca de sinalizadores como “não permitir impressão” ou “não permitir encaminhamento” e, se encontrar esses sinalizadores, o programa desabilita os recursos correspondentes. Para evitar que os rivais criem seus próprios produtos interoperáveis, que podem simplesmente ignorar essas restrições, o programa criptografa os documentos do usuário e oculta as chaves de descriptografia onde os usuários não conseguem encontrá-las.

Esse é um tipo muito frágil de segurança: se você enviar a alguém um e-mail ou um documento que possa abrir em seu próprio computador, em seus próprios termos, nada impede que a pessoa faça uma captura de tela ou tire uma foto de sua tela que pode ser encaminhada, impressa ou copiada.

Mas esse é apenas o começo dos problemas com o novo IRM integrado do Gmail. De fato, as propriedades de segurança do sistema não dependem da tecnologia, mas sim de um estatuto de direitos autorais da era Clinton. De acordo com a Seção 1201 da Lei de Direitos Autorais do Milênio Digital (“DMCA 1201”), de 1998m, criar um produto comercial que ignora o IRM é um crime em potencial, com pena de prisão de cinco anos e multa de US$ 500 mil pela primeira violação. O DMCA 1201 é tão amplo e mal elaborado que apenas revelar defeitos no IRM do Google pode gerar um processo contra você.

Acreditamos que produtos de “segurança” não devem depender da Justiça para preservar suas supostas garantias, mas sim de tecnologias como a criptografia de ponta a ponta, que fornecem garantias matemáticas reais de confidencialidade. Acreditamos que o uso do termo “Modo confidencial” para um recurso que não fornece confidencialidade como esse termo é entendido na infosec é enganoso.

Mensagens que “expiram”

Da mesma forma, acreditamos que a opção do Modo Confidencial de definir um “prazo de validade” para e-mails confidenciais pode levar os usuários a acreditarem que suas mensagens desaparecerão completamente ou se auto-destruirão após a data definida. A realidade é mais complicada. Também às vezes chamadas de mensagens “efêmeras” ou “que desaparecem”, recursos como as mensagens com “validade” do Modo Confidencial não são uma panacéia de privacidade. Do ponto de vista técnico, há muitas maneiras de contornar as mensagens que expiram: um destinatário pode capturar a mensagem ou tirar uma foto dela antes que ela expire.

Mas a implementação do Google tem mais uma falha. Ao contrário do que o nome “expirado” sugere, na verdade, essas mensagens continuam disponíveis muito depois de sua data de expiração, por exemplo, na sua pasta “Enviados”. Esse “recurso” do Google elimina uma das principais propriedades de segurança das mensagens efêmeras: uma garantia de que, no curso normal dos negócios, uma mensagem expirada será irrecuperável por qualquer uma das partes. Como as mensagens enviadas com o Modo confidencial ainda podem ser recuperadas — pelo remetente e pelo Google — após o “prazo de validade”, acreditamos que chamá-las expiradas é enganoso.

Revelando números de telefone

Se você escolher a opção “Senha por SMS”, o destinatário precisará de um código temporário similar a um de autenticação de dois fatores para ler seu e-mail. O Google gera e envia este código a seu destinatário, o que significa que você pode precisar informar o número de telefone do destinatário ao Google sem o consentimento dele.

Se o Google ainda não tiver essas informações, o uso da opção de senha por SMS fornecerá ao Google uma nova maneira de vincular duas informações potencialmente identificáveis: um endereço de e-mail e um número de telefone.

Esse recurso de “privacidade” pode ser prejudicial a usuários com necessidade de comunicações privadas e seguras e pode levar a surpresas desagradáveis para os destinatários, que podem não querer que seu número de telefone seja exposto.

Não tão confidencial

No fim, pelos motivos descritos acima, na opinião da EFF, chamar esse novo modo do Gmail de “confidencial” é enganoso. Não há nada confidencial em e-mails não criptografados em geral e no novo “Modo Confidencial” do Gmail em particular. Embora o novo modo possa fazer sentido em cenários corporativos específicos, ele carece de garantias e recursos de privacidade para ser considerado uma opção de comunicação segura confiável para a maioria dos usuários.


Publicado originalmente no Deeplinks Blog da EFF em 14/01/2017.

Compartilhe: