.
Opinião O melhor dispositivo para reduzir as mortes nas estradas, sugeriu o economista Gordon Tulloch, seria um grande prego de aço no centro do volante de cada carro. Focaliza a mente.
O equivalente em segurança de TI é um adesivo “Presumir que este dispositivo está grampeado” em todos os telefones, tablets e computadores. Sem isso, o melhor que podemos fazer é prestar atenção quando aqueles com acesso legal a todos os nossos dados abusam desses poderes e se ajudam.
Considere um infrator reincidente: o Federal Bureau of Investigation. Na semana passada, o FBI foi pego usando seu poder para aspirar as comunicações sem um mandado, ostensivamente para monitorar ameaças estrangeiras, para saquear a privacidade de muitos milhares de cidadãos americanos cuja repulsa pelo assassinato brutal de um homem negro por policiais brancos os marcou como ativistas.
Isso não é novidade. Pesquise por “abuso de poder do FBI” – substituindo o FBI por outras agências estaduais a gosto – e você ficará rolando por um ano. Na verdade, é bastante animador que as democracias ainda tenham salvaguardas para trazer essas coisas à tona e, ainda assim, continuar acontecendo. Se você mora em uma parte do mundo onde essa proteção é diluída ou ausente, não precisa dizer o quão ruim ela pode ficar.
Os federais abusaram ‘persistentemente’ dos poderes de espionagem. Qual é o próximo?
Deixando de lado a ética, a legalidade e a política, é importante fazer uma avaliação prática das agências estatais como ameaças persistentes avançadas na pilha de comunicações. Espiões vão espionar. Também é importante considerar toda a matriz de ameaças e identificar a maneira mais eficaz de minimizar os riscos como um usuário comum. O que você pode fazer para se proteger contra vigilância indevida, mantendo a utilidade de seus dispositivos?
A área mais interessante e importante é móvel. É onde temos menos controle combinado com mais confiança, onde nosso uso diário mais pessoal é acompanhado pela temível bateria de sensores e bloqueio do fornecedor.
Existem quatro classes principais de vetores de ameaças em seu telefone. Hardware, sistema operacional, aplicativos e malware. A Apple tem um histórico impressionante em segurança de hardware de dispositivos; seu sistema operacional está fechado, portanto, sua confiança na empresa é sua base para avaliação de risco. Todas as classes de invasores querem seus dados. Quais dados são enviados do seu dispositivo para a nuvem comprovadamente comprometida depende de como as permissões funcionam e se há coisas acontecendo sob o capô que contornam o controle do usuário.
O Android é o conjunto de contradições mais deslumbrante aqui. Seu domínio de mercado e facilidade de portabilidade – técnica e comercialmente – significam que você pode encontrá-lo em uma grande variedade de aparelhos, refletindo uma grande variedade de abordagens de confiança e dados. Existem muitos casos em que o Android foi usado para ocultar todos os tipos de malícia OEM, principalmente de Fabricantes chineses que estão legalmente em dívida com a segurança do estado chinês. É assim mesmo – e os OEMs percebem.
Ou você pode comprar uma marca de ponta como a Samsung, se estiver satisfeito com o bloatware e o acordo recente com a Meta – detalhes não revelados, mas é seguro supor que o beija-flor de Zuck estará deslizando sua língua em seu doce néctar de dados em algum lugar ao longo da linha. Que pode não acabar bem.
Depois, há o próprio Google, que usa suas plataformas para coletar uma quantidade surpreendente de dadoscolhendo seu próprio conjunto de multas multimilionárias ao longo do caminho.
Portanto, se você não pode impedir que os dispositivos peguem seus dados e os enviem para lugares onde atores estatais ou vampiros da privacidade possam ilegal ou indecentemente fazer o que quiserem com eles, que opções existem?
Google e Android. Não mesmo.
Comece com o hardware. A série Pixel do Google cresceu um pouco impressionante segurança do dispositivo, indiscutivelmente no mesmo grau que as criptas seguras da Apple. Obviamente, isso não ajuda muito se, uma vez que o dispositivo o autenticou totalmente, o sistema operacional e seu gerenciamento de privacidade rolam para fazer cócegas em sua barriga por seu senhor gigante. É aí que o Android pode realmente ajudar.
O Android, notoriamente, é de código aberto. Você pode desfazer o Google e ainda ter um sistema operacional móvel em funcionamento, onde você sabe que nada está se esgueirando para você. E, notoriamente, isso não é muito bom porque todas as coisas que tornam o Android realmente útil estão agrupadas nos serviços do Google Play e na loja de aplicativos. Você quer isso, você está de volta à vista de Mountain View.
Isso é até você pegar todo o material do Play e movê-lo de sua forte integração com o sistema de baixo nível para a área de usuário, onde pode ser colocado em sandbox. Isso dá a você um controle granular sobre todos os recursos que o Play Services deseja usar e quais dados ele e o aplicativo que o usa desejam enviar de volta.
Essa é a abordagem que o GrapheneOS adota. É uma distro Android de código aberto somente para Pixel – OK, ROM – que, segundo muitos relatos, atinge o ponto ideal de controle máximo sobre a segurança com impacto mínimo na experiência diária do Android.
Juntamente com um Pixel de última geração de segunda mão, o GrapheneOS levanta a possibilidade aparentemente oximorônica de que a plataforma móvel mais compacta e configurável pelo usuário custa menos de US $ 200, tem impacto ambiental insignificante e é alimentada pelo ogro de dados Google em si.
Não importa o quão mal o FBI, NSA, GCHQ ou as ditaduras se comportem, eles não podem ter seus dados se você nunca os enviar. Você ainda terá que cuidar do que faz online e como faz, mas pelo menos pode construir aquele castelo em uma rocha meio decente. ®
.
