TechTok #8. Conheça o seu inimigo
Dessa vez, nós decidimos não responder várias perguntas, mas sim focar em duas delas em específico. A primeira foi enviada pelo Влад:
Quantos rastreadores existem em sites populares e como o AdGuard os bloqueia?
Esse é o tipo de pergunta que pode até parecer simples, mas que na verdade não é tão fácil de responder. Claro, existem incontáveis sites por aí, e a quantidade de rastreadores neles varia bastante — sem contar que o número exato vai depender do método que você usar para contá-los. Mas você não veio aqui para ler respostas evasivas, e nós não criamos o TechTok para dar esse tipo de resposta. Então, vamos tentar apresentar alguns números concretos.
A primeira coisa que vem à mente é: “por que simplesmente não abrir um site e contar essas coisas?” E, de fato, por que não? Vamos abrir um site aleatório, digamos, o nytimes.com, e verificar o registro de filtragem da Extensão do Navegador AdGuard para ver quantos rastreadores são bloqueados. E vamos contar todos os anúncios bloqueados como rastreadores também — porque, na Web de hoje, praticamente todo anúncio rastreia você de alguma forma.
Depois de visitar o site, vimos que havia 7 requisições bloqueadas na página. Cada uma delas corresponde a um rastreador — e às vezes até mais de um. Quando você não bloqueia uma requisição de rastreamento, muitas vezes ela é seguida por outras. Fizemos os cálculos com os chamados rastreadores ocultos e é seguro dizer que, em média, cada requisição de rastreamento inicial traz mais de 2 “amiguinhos” se não for bloqueada. Isso já nos dá mais de 20 rastreadores. Há mais registros no log de filtragem do AdGuard, mas eles nem sempre correspondem a rastreadores bloqueados, então não vamos contá-los aqui. Mas ainda não terminamos.
Verificar manualmente cada site que você visita é impraticável e, honestamente, quase impossível. Há outras maneiras de estimar quantos scripts de rastreamento se escondem nos sites. Em um de nossos estudos — que ainda vamos publicar, fique ligado! —, contamos, entre outras coisas, quantas requisições são feitas para carregar um site com e sem bloqueador de anúncios. Sem entrar em muitos detalhes (isso ficará para o artigo dedicado que será publicado junto com a pesquisa), carregamos 119 sites de notícias e contamos um total de 35.603 requisições sem o bloqueador e 17.249 requisições com ele. Isso significa que, em média, o bloqueador de anúncios reduziu o número de requisições necessárias para carregar um site de 299 para 145 por site — mais da metade. Em cada site, 154 requisições foram bloqueadas por acionarem alguma das regras de filtragem. É verdade que o ambiente de teste não era tão minimalista quanto no nosso pequeno experimento com o nytimes.com: havia mais filtros envolvidos e a metodologia era diferente. Mas isso mostra que nossa estimativa inicial de 20 rastreadores bloqueados está, provavelmente, mais próxima do número mínimo do que do máximo.
Para ser sincero, além de monitorar seu tráfego e analisar meticulosamente cada requisição, não existe um método 100% preciso para saber quantos rastreadores há em um site específico. Mas isso nem é necessário — com base nas estimativas acima, já dá para perceber que existem rastreadores em quantidade suficiente para você começar a pensar em como se proteger. E é aqui que entramos na segunda parte da pergunta: Como o AdGuard bloqueia esses rastreadores?
Na verdade, esse tópico renderia não só uma pergunta separada, mas uma edição inteira do TechTok — ou várias. Então vamos cobrir apenas o básico e deixar algumas pistas para você continuar explorando por conta própria, se quiser.
Seu tráfego na web é composto por muitas requisições que o navegador (e também os apps, mas vamos focar nos navegadores por simplicidade) envia para servidores da web, para carregar tudo o que é necessário para exibir uma página — texto, fontes, imagens, vídeos. O AdGuard, assim como outras ferramentas de filtragem web, analisa essas requisições em busca de sinais de anúncios e rastreadores. Normalmente, requisições para servidores de anúncios são diferentes das que vão, por exemplo, para uma rede de entrega de conteúdo (CDN). O AdGuard possui filtros (também chamados de listas de filtros) com milhares de regras escritas em uma sintaxe especial, e sempre que uma requisição corresponde a uma dessas regras ativas, o AdGuard sabe que é hora de agir e bloqueia a requisição antes que ela chegue ao servidor e carregue um anúncio ou rastreador no seu dispositivo. Esses filtros precisam ser mantidos e atualizados constantemente para continuarem eficazes, e uma equipe inteira de desenvolvedores de filtros trabalha nisso no AdGuard — sem falar nos inúmeros profissionais e colaboradores da comunidade que fazem o mesmo.
Esse é o básico — mas o buraco é muito mais fundo. Se quiser se aprofundar no assunto, confira este artigo da Base de Conhecimento. E se ainda estiver com sede de sabedoria sobre bloqueio de anúncios, você pode mergulhar nos detalhes da filtragem HTTPS, da filtragem DNS ou até aprender a criar suas próprias regras de filtragem.
Vamos à próxima! Um usuário chamado Виталий quer saber como seu celular pode ser rastreado. Tomamos a liberdade de parafrasear um pouco a pergunta sem distorcer seu significado:
Quais são as formas de explorar seu celular para coletar informações sobre você, quais informações exatamente podem ser coletadas e como se proteger?
Essa é uma pergunta bastante ampla, e pretendemos abordá-la com mais detalhes em futuras edições do TechTok. Mas, por enquanto, vamos fazer algo um pouco diferente: apresentar em formato de lista. Vamos reunir as ameaças à privacidade do seu celular que você pode enfrentar — aproximadamente da mais à menos comum — e, para cada uma delas, vamos sugerir formas de se proteger. Não conseguiremos cobrir todas aqui, mas esperamos que você consiga tirar algumas dicas práticas das que mencionarmos.
1. Rastreamento e publicidade
Essa é uma ameaça básica, da qual você já ouviu falar na primeira pergunta do TechTok de hoje. Aplicativos e sites costumam usar rastreadores de anúncios e ferramentas de análise para monitorar seu comportamento e criar perfis com base em suas atividades — o que leva à exibição de anúncios personalizados indesejados e possíveis violações de privacidade.
Como se proteger:
Use bloqueadores de anúncios e ferramentas anti-rastreamento como o AdGuard, e prefira navegadores focados em privacidade. Nesse sentido, os dispositivos móveis não diferem muito dos desktops. No entanto, vale destacar que tanto no Android (e especialmente no iOS), as capacidades dos bloqueadores de anúncios são limitadas em comparação com Windows e Mac quando se trata de filtrar o tráfego de aplicativos fora do navegador. Isso significa que você deve ser ainda mais cuidadoso ao decidir instalar um app — pesquise sobre o desenvolvedor e sua reputação, leia a política de privacidade. Não confie em aplicativos que pareçam suspeitos de qualquer forma e sempre erre pelo lado da cautela ao decidir instalar algo ou não.
2. Abuso de permissões de aplicativos
Essa ameaça está intimamente ligada à anterior. Muitos apps pedem permissões que não são necessárias para sua funcionalidade principal (por exemplo, câmera, microfone, contatos) e podem expor seus dados.
Como se proteger:
Não clique automaticamente em “permitir” sempre que instalar um novo app. Sim, todos conhecemos a empolgação de querer testar algo novo o quanto antes, mas tirar um ou dois minutos para revisar as permissões pode poupar muito tempo e dores de cabeça no futuro. Se um app de anotações quer acessar seu microfone, algo está errado. Você também pode considerar o uso de ferramentas de gerenciamento de permissões (como o App Ops, no Android).
3. Malware e spyware
Geralmente espalhados por e-mails de phishing e sites maliciosos, apps mal-intencionados ou spywares podem ser instalados discretamente no seu celular para monitorar suas atividades, roubar informações pessoais ou controlar seu dispositivo remotamente. Alguns consideram essa ameaça irrelevante, mas dizer “só tolos e idosos caem nisso” costuma ser a famosa última frase antes do desastre. Todo cuidado é pouco.
Como se proteger:
As regras para se proteger de malwares não são complicadas — mas você precisa segui-las. Abrir exceções é caminho certo para acabar com um malware no seu aparelho. Baixe apps apenas de lojas confiáveis (Google Play, App Store etc.), e nunca instale aplicativos diretamente de sites, a menos que tenha pesquisado sobre o desenvolvedor e confie nele. Mantenha o sistema operacional do seu celular sempre atualizado para corrigir vulnerabilidades conhecidas — não adie a atualização do sistema só porque quer terminar de assistir aquele vídeo sobre o comportamento social das lulas. Evite acessar sites duvidosos, clicar em links suspeitos ou abrir anexos de e-mails, especialmente de remetentes desconhecidos.
4. Clonagem de chip (SIM swapping ou SIM jacking)
A clonagem de chip é uma forma de roubo de identidade em que um invasor consegue transferir seu número de celular para um novo chip que ele controla, seja por engenharia social ou acessando suas contas. Com seu número, ele pode receber chamadas, SMS e códigos de autenticação de dois fatores (2FA) enviados ao seu celular. Isso dá acesso a contas bancárias e redes sociais que usam 2FA por SMS.
Como se proteger:
Diferente de ameaças como malware ou abuso de permissões, não é possível se proteger da clonagem de chip apenas com vigilância passiva. É preciso tomar medidas preventivas ativamente: configure um PIN ou senha junto à sua operadora para impedir trocas de chip não autorizadas. Algumas operadoras oferecem recursos extras de segurança, como autenticação multifator — pergunte sobre isso.
Outra forma de prevenir ou ao menos mitigar os danos causados pela clonagem é usar um app autenticador para seu 2FA, em vez de depender de SMS. Há várias opções confiáveis no mercado.
5. Coleta de dados pela operadora
Não é segredo que as operadoras têm capacidade para coletar dados como histórico de chamadas, mensagens de texto e localização — e muitas fazem isso. Esses dados podem ser compartilhados ou vendidos a terceiros para fins de marketing. Além disso, sempre há o risco de vazamentos de dados, o que pode expor todas essas informações a hackers.
Como se proteger:
O primeiro passo é fazer sua lição de casa: descubra quais dados sua operadora coleta e quais opções de exclusão (opt-out) estão disponíveis. Muitas vezes esse botão está escondido nas profundezas das configurações, mas normalmente existe.
No entanto, nem tudo pode ser resolvido com um opt-out — e mesmo quando pode, é melhor prevenir do que remediar. Por isso, use uma VPN. Uma VPN criptografa seu tráfego e esconde seu endereço IP e localização, não só da operadora, mas de qualquer outra entidade curiosa sobre sua atividade online.
Por fim, configure seu dispositivo para usar um servidor DNS personalizado de um provedor com foco em privacidade (como o AdGuard DNS). Esse é um passo que até usuários mais experientes muitas vezes esquecem, mas que está se tornando cada vez mais importante, já que o TrustPid baseado em DNS tende a ser o futuro do rastreamento de anúncios na Europa.
6. Espionagem via Wi-Fi e Bluetooth
Redes Wi-Fi públicas e conexões Bluetooth desprotegidas podem ser exploradas por hackers para interceptar seus dados ou acessar seu dispositivo.
Como se proteger:
Felizmente, essa é fácil: evite usar redes Wi-Fi públicas sempre que possível — especialmente para atividades sensíveis como operações bancárias. E, se precisar usar, utilize sempre uma VPN para criptografar seu tráfego.
Quanto ao Bluetooth, o conselho é direto: desligue-o quando não estiver usando e evite emparelhar com dispositivos desconhecidos.
7. Rastreamento de localização por torres de celular
Agora estamos oficialmente entrando no território das teorias da conspiração. As operadoras podem triangular sua localização aproximada com base na intensidade do sinal e na proximidade de antenas (ou torres de celular), mesmo que o GPS do dispositivo esteja desligado.
Como se proteger:
Infelizmente, não há muito o que fazer aqui, a menos que você esteja disposto a se desconectar completamente da rede ou ativar o modo avião no dispositivo. Como já mencionamos, apenas desligar o GPS não adianta. Tecnicamente, colocar o celular em uma bolsa de Faraday funcionaria — mas não é exatamente uma solução prática.
Por outro lado, você provavelmente não precisa se preocupar demais com rastreamento por sinal de celular — a menos que seja uma figura pública que esteja nos radares do governo. Usuários comuns devem focar seus esforços em se proteger contra formas de rastreamento mais comuns e fáceis de prevenir.
Esperamos que as perguntas de hoje tenham sido relevantes e as respostas úteis. Envie novas perguntas por meio deste formulário, e talvez você as veja respondidas na próxima edição do TechTok!
