Press "Enter" to skip to content
Você está em | Home | Dicas, Truques e Macetes | Por que você deve evitar o recurso “Mostrar Senha” no Chrome e Edge

Por que você deve evitar o recurso “Mostrar Senha” no Chrome e Edge

Compartilhe

Alguns recursos existem para tornar a nossa relação com a tecnologia algo mais prático e simples. E ter essas funcionalidades é algo importante para deixar esses dispositivos mais acessíveis para os usuários que não estão tão familiarizados com o mundo informático.

O problema é quando esses recursos oferecem eventuais vulnerabilidades que colocam os dados mais sensíveis do usuário em risco. Ou neste caso, algo ainda pior, que é o envio dessas informações para a nuvem, e sem o conhecimento ou consentimento do usuário.

Pois bem, descobriram que o corretor de textos dos navegadores web Google Chrome e Microsoft Edge estão enviando os dados privados digitados na web para a nuvem, através da função “Mostrar Senha”.

E lá vamos nós tentar nos proteger de potenciais invasões de conta e roubos de dados…

 

Sim, é possível traduzir textos sem envio do conteúdo para a nuvem…

Vale a pena fazer uma breve introdução sobre um determinado aspecto do funcionamento da internet e dos navegadores web antes de avançar na real problemática que é o tema principal deste artigo.

Quando você utiliza algum serviço de correção ou tradução de textos em um navegador web, é necessário que o texto original seja enviado para servidores na nuvem que analisam o conteúdo para uma posterior tradução ou correção. E todos os dias, milhões de pessoas ao redor do mundo (eu, inclusive) utilizamos esse tipo de ferramenta online sem se dar conta que aqui existe um potencial problema de privacidade.

Neste processo, qualquer usuário vai conceder ao servidor de correção ou tradução dos textos não apenas o conteúdo a ser trabalhado pela plataforma (e aqui você está ciente que está autorizando o compartilhamento dessas informações), mas também as informações sobre os sites que visitamos e o tipo de textos que estamos escrevendo ou desenvolvendo.

E eu não sei se a maioria das pessoas que eu conheço desejam que outros sites saibam que estão escrevendo fan fics com conteúdos adultos envolvendo Cristiano Ronaldo, Renan Calheiros e Susana Vieira, todos em um mesmo quarto de motel em Varginha (MG), para citar um exemplo totalmente aleatório.

Para preservar as bizarrices literárias de algumas pessoas, a Mozilla anunciou em junho de 2022 o lançamento de uma extensão chamada Firefox Translations, que oferece a funcionalidade de tradução de textos em modo offline, ou seja, dispensando o envio desse conteúdo para a nuvem.

A ferramenta funciona da seguinte forma: tanto o envio do conteúdo para a web como aquele inserido em dados de ‘input’ de formulários e quadros de texto não são enviados para a servidores na nuvem. A regra vale tanto para os usuários do seu navegador, o Firefox, como para os browsers compatíveis.

E o grande problema que motivou a produção deste artigo é que nem o Google Chrome, nem o Microsoft Edge (que, coincidência ou não, utilizam o mesmo motor Chromium para funcionar) não contam com esse recurso de tradução offline. Pior: as ferramentas de correção de textos presentes nos dois navegadores web podem expor a privacidade do usuário de forma ainda mais direta, já que ambos acabam retendo as senhas dos usuários nos servidores do Google e da Microsoft, respectivamente.

Pronto. Olha a merda feita.

 

O “Mostrar Senha” não significa exatamente aquilo que você acredita

Os investigadores de segurança da Otto-JS revelaram que os corretores ortográficos do Chrome e do Edge está enviando para a nuvem os dados de identificação de usuário digitados nos campos de formulários nos diferentes sites web que navegamos todos os dias. E nem eu, nem você, nem mesmo o Cazemiro (espero ter escrito o nome dele certo) sabiam disso.

Os dados mais comuns de credenciais de acesso e informações pessoais ficam retidos nos servidores do Google e da Microsoft por causa do recurso “Mostrar Senha”. Nome de usuário e senha, endereço de e-mail, data de nascimento, números de RG e CPF, endereços e outras informações sensíveis ficam retidos com um simples clique no recurso que transforma os asteriscos em textos nessas plataformas online.

É uma brecha que o nosso computador não consegue detectar. O Windows Defender (por exemplo) passa batido por esse tipo de brecha de segurança, e não há nada que o usuário mais leigo possa fazer para evitar isso de forma direta.

Josh Summitt, co-fundador e CTO da Otto-JS, explica como a sua empresa descobriu essa brecha de segurança:

“Ao investigar vazamentos de dados em diferentes navegadores, encontramos uma combinação de recursos que, uma vez ativados, expõem desnecessariamente dados confidenciais a terceiros, como Google e Microsoft. O que preocupa é como é fácil habilitar esses recursos e que a maioria dos usuários fazer isso sem realmente perceber o que está acontecendo em segundo plano.”

A prática de coleta de dados acontece ao fazer login em plataformas consideradas relevantes e populares para milhões de internautas ao redor do mundo, como Office 365, Alibaba Cloud, Google Cloud, AWS Secret Manager, LastPass e outros. O efeito prático disso é devastador, pois expõe de forma quase flagrante a fragilidade da infraestrutura digital da maioria dessas empresas.

Ao menos o AWS e o LastPass resolveram o problema em suas plataformas com uma modificação do código HTML de suas páginas web. E esperamos que os demais serviços online façam o mesmo:

Christofer Hoff, diretor da LastPass, também compartilha os seus pensamentos sobre o assunto:

“É desconcertante que os usuários possam inadvertidamente expor dados confidenciais apenas ativando recursos inócuos do navegador… sem entender que qualquer coisa que digitem, incluindo senhas, pode resultar no envio desses dados a terceiros”.

O método é conhecido entre os especialistas em tecnologia como “spell-jacking”, e é considerado um problema muito maior do que parece. Maggie Louie, a outra co-fundadora da Otto-JS, liga o sinal de alerta para toda a comunidade informática e internautas em geral:

“Isso pode não ser uma preocupação para nós quando estamos falando sobre Google e Microsoft, mas nas mãos erradas, um leitor de texto ou extensão de navegador com esses mesmos recursos poderia ser usado para vigilância direcionada?”

Até o momento em que este artigo foi produzido (setembro de 2022), Google e Microsoft não se pronunciaram sobre o assunto, e isso é algo ainda mais preocupante, já que ambas estão diretamente envolvidas com a prática e se silenciam diante dos alertas claros emitidos pelos especialistas em segurança.

Aliás, fica até fácil compreender o silêncio da dupla quando pensamos que essas empresas são diretamente beneficiadas dessa coleta desenfreada dos dados de bilhões de usuários ao redor do mundo. O que realmente incomoda aqui é que, mais uma vez, esses dados são coletados sem o nosso consentimento ou conhecimento, violando frontalmente a privacidade dos usuários.

 

O que fazer diante deste cenário?

Até segunda ordem, evite a todo custo o uso do recurso “Mostrar Senha” não apenas nesses navegadores web, mas em todos os browsers compatíveis e/ou relacionados com o motor Chromium de alguma forma.

Sei que sugerir isso dos internautas mais leigos ou daqueles que não conseguem se lembrar das senhas salvas no navegador é algo muito difícil. Porém, é um esforço necessário para reforçar a segurança dos seus dados online.

Outra alternativa é desativar o recurso que salva automaticamente os dados a serem preenchidos no navegador web, assim como o recurso que exibe automaticamente as senhas quando solicitado pelo usuário.

Nestes casos, você precisa estar preparado para preencher todos os campos de cadastros diversos na internet por conta própria e em cada website a ser acessado. Sem falar que precisa manter todas as suas senhas salvas em algum lugar e, de preferência, longe da internet.

Isso é menos difícil do que parece, mas mais trabalhoso do que se imagina. De qualquer forma, insisto que este é um mal necessário diante de um cenário onde Google e Microsoft (até o momento) “lava as mãos”, deixando os usuários expostos e vulneráveis.


Compartilhe