O lado negro do Google Chrome

A minha história pessoal com o Google Chrome começou com uma decepção.  Assim que disponível, alegremente fiz o download do novo navegador para o meu Dell D630, pensando nas possibilidades que um navegador tão novo e revolucionário — e há tanto esperado — poderia me proporcionar.

O download e a instalação ocorreram, ao menos aparentemente, sem problemas. Porém, um provável erro na instalação não permite que o programa abra corretamente, impedindo de maneira definitiva sua utilização. Talvez tenha sido eu, o eleito; o escolhido como o único cidadão do universo sideral a não conseguir instalar a tão ansiada novidade em uma máquina Windows com 4GB de RAM.

Ao tentar utilizar meu novo brinquedinho pela primeira vez, eis o que surge na tela:

Reinstalei o software diversas vezes, até mesmo utilizando um arquivo de instalação enviado por um amigo — sempre com o mesmo resultado. Intrigado com este comportamento, comecei a pesquisar a respeito do novo browser e acabei encontrando algumas coisas estranhas, as quais demonstram que existe um certo lado negro na política do “Don’t be Evil” (Não Seja Mau) do Google.

O blog Beyond Binary baixou e analisou o EULA — Contrato de Usuário Final, em bom português — aquele mesmo, que ninguém tem paciência de ler ao baixar ou instalar um software qualquer, e acabou descobrindo certas cláusulas bem “interessantes”. Veja só:

11.1 O usuário retém direitos autorais e quaisquer outros direitos que já tiver posse em relação ao Conteúdo que enviar, postar ou exibir nos Serviços ou através deles. Ao enviar, postar ou exibir o conteúdo, o usuário concede ao Google uma licença irrevogável, perpétua, mundial, isenta de royalties e não exclusiva para reproduzir, adaptar, modificar, traduzir, publicar, distribuir publicamente, exibir publicamente e distribuir qualquer Conteúdo que o usuário enviar, postar ou exibir nos Serviços ou através deles. Essa licença tem como único objetivo permitir ao Google exibir, distribuir e promover os Serviços, e ela poderá ser revogada para alguns deles, conforme definido nos Termos Adicionais.

Isto quer dizer que o Google respeita os direitos autorais do usuário de seu navegador, mas este concede ao Google uma licença perpétua — ou seja, para sempre — e irrevogável para este (o Google, que fique bem claro) utilizar e até mesmo modificar qualquer conteúdo que, mesmo sendo de propriedade do usuário, tenha trafegado ou tenha sido exibido pelo Google Chrome.

Então, meu caro leitor, tudo o que você distribuir, escrever publicar ou postar — bit a bit — poderá ser utilizado ao bel prazer do Google. Imagine aquele seu email particular, escrito com todo o cuidado, carinho e esmero. Ah, você o enviou utilizando o Google Chrome? Então, meu caro, se o Google achar bonitinho e quiser utilizar em uma homenagem ao dia dos namorados, por exemplo, já era!

O próprio MacMagazine, nestes termos, poderia ter seus artigos modificados, adaptados e distribuídos, caso seus autores os postem via Google Chrome. Em minha modestíssima opinião jurídica, visto que não advogo há séculos, esta é uma das cláusulas mais abjetas que já vi.

12.1 O Software usado pelo usuário pode, ocasionalmente, fazer download e instalar automaticamente atualizações do Google. Essas atualizações são concebidas para melhorar, aperfeiçoar e desenvolver os Serviços e podem ser apresentadas sob a forma de correções de erros, funções aprimoradas, novos módulos de software e versões completamente novas. O usuário concorda em receber essas atualizações (e permitir que o Google as forneça) como parte da utilização dos Serviços.

Perto da tenebrosa cláusula anterior, esta é fichinha. Em resumo: você, proprietário da máquina, concede ao Google o direito de fazer updates do Chrome em sua estação quando bem quiser, não importando se o usuário quer, ou não, que tais atualizações sejam instaladas.

17.1 Alguns dos Serviços são mantidos por receita proveniente de publicidade e podem exibir anúncios e promoções. Esses anúncios podem ser segmentados ao conteúdo da informação armazenada nos Serviços, pesquisas feitas por meio dos Serviços ou outras informações.

17.2 A maneira, modo e abrangência da publicidade do Google nos Serviços estão sujeitos a alterações sem aviso prévio específico ao usuário.

17.3 Considerando a concessão por parte do Google do acesso e uso dos Serviços, o usuário concorda com a possibilidade de o Google veicular tais anúncios nos Serviços.

Estas são cláusulas também mais amenas, mas nem por isso menos preocupantes. Concedem ao Google o direito de veicular propagandas no próprio navegador, talvez da mesma maneira que já existe na página do Gmail, o que seria, ao menos, bem estranho, visto que a publicidade é encontrada normalmente nos próprios sites, e não nos navegadores utilizados para acessá-las.

Obviamente que o Google já tratou de dizer que tudo não passou de um equívoco e, a exemplo do que fez em relação ao Google Docs, mudará os termos da EULA. Rebecca Ward, diretora sênior de produtos para o Google Chrome, disse ao site Ars Technica que “a empresa tenta, sempre que possível, utilizar a mesma EULA para todos os serviços, com o objetivo de tornar as coisas mais simples para os usuários”.

Ward admite que “os termos de licença de software para um produto nem sempre se adequam ao uso em outro produto”. Por isso, afirmou que a empresa está trabalhando para alterar rapidamente os termos da seção 11 da EULA do Chrome, mudança esta que será retroativa a todos os usuários que já fizeram o download do aplicativo. Você acredita? Pois é!

Assustador, não?! Mas há algo pior. Muito pior! A omnibox — a barra de endereço, tida como uma das principais novidades do Chrome, e que possui a capacidade de auto-completar o texto digitado pelo usuário, oferecendo sugestões de novos conteúdos — é bem mais sinistra do que parece.

Através de uma ferramenta de keylogger, o Google poderia registrar — e relacionar com o número IP da máquina do usuário — qualquer URL digitada, mesmo aquelas não abertas pelo navegador. Um funcionário que não quis se identificar disse ao CNET que o Google pretende reter 2% de toda a informação digitada pelo usuário. A única forma de se proteger deste comportamento — de novo, o adjetivo “abjeto” me vem à cabeça — é desabilitar a função de auto-completar da omnibox.

Esses, porém, não são os únicos problemas. Poucas horas após seu lançamento, o consultor em segurança da informação Aviv Raff descobriu que o browser tem uma vulnerabilidade crítica, resultado da combinação de duas brechas — uma falha no WebKit, o mesmo usado no Safari, e um bug no Java.

Raff criou uma demonstração inofensiva do ataque, demonstrando como um usuário do Google Chrome pode, inadvertidamente, baixar e executar um arquivo .jar sem nenhum alerta. Na prova de conceito, o código de Raff mostra como um hacker pode copiar malwares em PCs com Windows. A análise de seu user-agent mostra que o browser é, na verdade, o WebKit 525.13 (Safari 3.1), uma versão vulnerável. A Apple já corrigiu o problema no Safari 3.1.2. Veja só:

E a falha de segurança se torna mais crítica ainda por ser óbvia, colocando em risco todo o trabalho de se preservar a segurança das informações, tanto do usuário comum, quanto das informações corporativas. É de se espantar como os engenheiros do time de segurança do Google não tenham percebido algo tão elementar!

Por fim, há algo que não é culpa do Google. O Windows Live Mail não funciona no Google Chrome, observa bem o leitor Emanuel Barbosa:

O serviço da Microsoft pede ao usuário que utilize os navegadores Internet Explorer, Mozilla Firefox ou Apple Safari. Será ainda reflexo da briga pelo controle do Yahoo!?

Quer saber? O que começou como uma grande decepção transformou-se em um gigantesco sentimento de alívio. Hasta la vista, Google Chrome.

Se houver algum erro no post acima, selecione-o e pressione Shift + Enter ou clique aqui para nos notificar. Obrigado!

Sobre o Autor

Paulistano, advogado não-praticante e especialista em segurança de redes, fã de carteirinha do Mac OS X e de todos os demais produtos da Apple. Cursa Engenharia da Computação e possui as seguintes certificações técnicas: MCP; MCSA Windows 2000; MCSE Windows 2000; MCSA Windows 2003; MCSE Windows 2003 Security; MCTS Windows Vista; Microsoft Certified MSF Practitioner; Cisco CCNA; CompTIA A+, Security+ e Network +; CIW e PMP. Busca alcançar, num futuro próximo, as certificações CISSP e CISA.

Aviso: nossos editores/colunistas estão expressando suas opiniões sobre o tema proposto e esperamos que as conversas nos comentários sejam respeitosas e construtivas. O espaço acima é destinado a discussões, debates sobre o tema e críticas de ideias, não às pessoas por trás delas. Ataques pessoais não serão tolerados de maneira nenhuma e nos damos ao direito de ocultar/excluir qualquer comentário ofensivo, difamatório, preconceituoso, calunioso ou de alguma forma prejudicial a terceiros, assim como textos de caráter promocional e comentários anônimos (sem nome completo e/ou email válido). Em caso de insistência, o usuário poderá ser banido.

O MacMagazine faz parte do grupo iMasters, mantido pelas seguintes empresas: