Popular app de captura de tela tem compartilhamento inseguro e exposto a golpes

Um pesadelo de segurança. Foi assim que a revista americana Wired definiu o aplicativo Lightshot, que promete o compartilhamento fácil de screenshots e está disponível em versões Windows, Mac e Linux. O problema é que essa comodidade, com a captura de tela sendo realizada a partir de atalhos rápidos do teclado e hospedada automaticamente na nuvem, acompanha uma série de riscos sérios para a proteção dos usuários, ao lado de práticas inadequadas aplicadas pelos responsáveis pelo software.

• Alerta: grupos de Pix que viralizam no WhatsApp podem ser esquema de pirâmide
• Falhas no Office permitiam usar arquivos falsos para executar códigos remotos
• RockYou2021 | 8,4 bilhões de senhas são reveladas no maior vazamento da história

Gratuito, o software leve e de instalação simples funciona sempre em segundo plano, permitindo que o usuário atribua teclas para o registro de tudo o que está sendo exibido na tela ou apenas um trecho selecionável, com upload e link rapidamente disponíveis e podendo ser abertos ou copiados para envio, também, com um clique. Os problemas começam, justamente, nas URLs, criadas de forma sequenciais e completamente abertas, podendo ser acessadas tanto pelo usuário, e também por aquele a quem o link for enviado, mas por qualquer pessoa na internet.

O endereço é simples, composto de duas letras e quatro números. Uma análise rápida e aleatória feita pelo Canaltech encontrou desde capturas de construções no Minecraft, registros de chats em jogos online e screenshots de sites até circunstâncias bem mais graves. Documentos pessoais, comprovantes de pagamento e senhas de acesso a serviços online também foram localizados por meio de um processo que, literalmente, envolveu bater a mão no teclado para gerar dígitos aleatórios que coincidissem com os padrões da plataforma online do Lightshot.

Os casos mais graves envolveram um comprovante completo de transação pelo Mercado Pago, com direito a e-mail do comprador, valor pago, parcelamento, informações do vendedor e números de comprovação. Dois outros casos envolvem links de acesso e credenciais de carteiras de criptomoedas, enquanto um terceiro contém o que aparenta ser uma nota fiscal de exportação de um produto, com valores, assinaturas e carimbos oficiais de autoridades aduaneiras russas. Todos elementos que podem ser usados em fraudes ou golpes contra os donos dos dados comprometidos.

As críticas em relação ao funcionamento da plataforma já eram conhecidas entre a comunidade de segurança até que, em meados de abril, publicações viralizadas no Instagram e TikTok ampliaram ainda mais esses riscos. Em um desafio, influencers incentivavam sua audiência a acessar as screenshots aleatórias de qualquer pessoa, bastando alterar as letras e números da URL disponibilizada pelo serviço. O que era dado como alerta, virou piada, e se golpistas já não estavam cientes disso, passaram a estar.

Fácil de entrar, difícil de sair

Outros elementos contribuem para a aparente insegurança na utilização do Lightshot. Como dito, o download e instalação são rápidas e, em minutos, o aplicativo está configurado e pronto para ser usado. O upload da captura de tela é instantâneo, mas não é possível fazer nenhum tipo de configuração relacionada a isso, seja para impedir que a screenshot seja hospedada na nuvem da plataforma ou solicitar sua exclusão após um determinado período de tempo.

São duas maneiras existentes para remover uma imagem disponível desta maneira. A primeira envolve um cadastro no site do Lightshot, que somente aceita login com os serviços do Google ou Facebook. A partir do registro, o usuário passa a ter acesso a todas as imagens compartilhadas e pode realizar a exclusão imediata delas. Esse ato, entretanto, não é essencial para uso da solução nem recebe o destaque que deveria, aparecendo apenas em botões pequenos na interface,

Na segunda opção, é preciso solicitar a remoção da imagem por um botão igualmente pequeno e ofuscado com o fundo da tela, que permite reportar abusos pela exposição de dados pessoais ou exibição de conteúdo sexual ou violento. O serviço pede um e-mail, provavelmente para notificar o usuário sobre a exclusão. Nos testes feitos pelo Canaltech, um pedido de remoção de uma captura permaneceu por mais de uma semana sem resposta, seguindo no ar até o momento em que essa reportagem é publicada.

A ausência de opções de segurança chama a atenção, principalmente, quando se compara o Lightshot com outros serviços semelhantes. O Imgbb, outra plataforma conhecida de compartilhamento de imagens, possui configurações de tempo para exclusão de uma imagem antes mesmo do processo de upload; enquanto o Google Fotos, que realiza a hospedagem na nuvem automaticamente, permite que o usuário escolha pastas para ficarem de fora e não deixa que os conteúdos sejam acessados publicamente, a não ser que o utilizador deseje isso e configure álbuns desta maneira.

Coleta massiva

O principal risco associado à disponibilidade pública de screenshots é a obtenção, em massa, dos dados exibidos por criminosos. Basta um script simples para que as URLs sequenciais do Lightshot sejam varridas uma a uma, com as imagens sendo baixadas automaticamente por criminosos que, mais tarde, podem analisar o volume em busca de dados pessoais, credenciais e demais informações sensíveis.

“A disponibilidade pública de screenshots é muito perigosa, pois é comum que as pessoas tirem prints de coisas que querem guardar ou dados importantes”, explica Fabio Assolini, analista sênior de segurança da Kaspersky. Ele cita, por exemplo, comprovantes de pagamento, números de protocolo ou registros de transferências bancárias, imagens que, normalmente, trazem dados pessoais, informações de contato e até senhas ou números de cartão de crédito. “[Tais dados] devem ser mantidos em segredo para que não se tornem material para fraudes nas mãos dos cibercriminosos.”

Não se engane acreditando que, por se tratarem de imagens, essa coleta seria mais difícil ou lenta. Conforme explica Assolini, apps de leitura de imagens podem, rapidamente, extrair textos das capturas disponíveis publicamente e revelar as informações aos golpistas de uma forma bem mais acessível e utilizável. “Números de cartão de crédito, CPF, telefones e outros dados têm formato fixo e, por isso, seria possível [capturar tais informações].”

O sistema do Lightshot, ainda, não possui nenhum tipo de proteção contra acessos sucessivos ou repetidos, permitindo a utilização de tais sistemas automatizados. Com exceção de intermitências no acesso e eventuais lentidões no carregamento das imagens, basicamente, não há nada que impeça tal coleta e a posterior extração de dados pessoais disponíveis em screenshots públicas, quando não deveriam estar.

Golpes combinados

A popularidade do software e, também, de sua disponibilização livre de capturas de telas levou a uma segunda categoria de fraude, voltada a golpistas leigos que decidirem se aproveitar de eventuais credenciais disponibilizadas no serviço. A ideia de ter acesso livre a uma carteira de criptomoedas parece fácil demais para alguns, mas esconde uma segunda etapa de comprometimento que pode levar a perdas financeiras.

É o assunto de um alerta da Kaspersky publicado em abril, no qual os especialistas alertam sobre criminosos plantando logins e senhas para serviços baseados nessa modalidade financeira em busca de alguém que tente se achar mais esperto que os outros. As credenciais aparecem em registros de conversas comuns ou até mesmo ameaças de atentado à própria vida dos supostos usuários, quando na verdade, são a porta de entrada para um segundo tipo de golpe.

Ao acessarem os sites indicados pelos utilizadores supostamente descuidados, os golpistas sem muito conhecimento se deparam com o que seria um site real de um câmbio de criptomoedas. Ao acessarem com as credenciais, se deparam com carteiras de aparência legítima e valores de alguns milhares de dólares. Antes da transferência, porém, vem uma cobrança de comissões ou taxas para que a operação seja realizada, com custos abaixo dos US$ 100. Parece uma boa troca, mas não é.

Trata-se de um golpe que, no final das contas, leva ao envio de valores para os criminosos enquanto o dinheiro supostamente disponível, na realidade, não existe. De acordo com o levantamento da Kaspersky, até a data de publicação do alerta, cerca de US$ 6 mil em criptomoedas já tinham sido transferidos para as carteiras indicadas para recebimento das tais taxas ou comissões.

Compartilhar pode ser preciso, mas com segurança

Eventualmente, o usuário pode, sim, se ver em uma situação na qual o compartilhamento de um comprovante, ou até mesmo de credenciais de acesso, pode ser necessário. Da mesma forma, como apontado pelo especialista da Kaspersky, capturar documentos, extratos ou outros dados sensíveis pode ser uma alternativa fácil para armazenar dados, e pode, sim, ser utilizada, desde que se tome cuidado.

“O ideal é manter tais imagens hospedadas localmente no dispositivo e não armazenadas em serviços de nuvem”, explica Assolini. Caso o envio a alguém seja necessário, a indicação é o uso de mensageiros, de forma que a captura seja compartilhada apenas com quem precisa dela, permitindo, também, que seja apagada após o uso. Ainda assim, é importante tomar cuidado, já que, uma vez enviada uma imagem, nada impede que ela seja salva pelo contato.

No caso de sistemas na nuvem, o especialista indica o uso de plataformas que ofereçam recursos de proteção, como dupla autenticação e compartilhamento criptografado, além de controles de acesso, avisos de login, prazos para apagamento automático dos dados e demais funções. “Os melhores serviços estão preocupados com a privacidade e oferecem tais [opções]. Analisar [o que] está disponível é uma boa estratégia.”

Além disso, desnecessário dizer, o ideal é que os usuários não tentem acessar contas de terceiros obtidas por meio de sistemas de compartilhamento de screenshots a não ser que tenham autorização expressa para isso. Da mesma forma, o ideal é que o usuário não clique em links recebidos por desconhecidos nem envie dinheiro para tais indivíduos, a não ser que tenha certeza absoluta do que está fazendo.

O Canaltech tentou contato com os responsáveis pelo Lightshot sobre a ausência de recursos de segurança e a demora no atendimento aos pedidos de remoção, mas não recebeu resposta. A reportagem, também, enviou links de documentos pessoais e tentativas de golpe disponíveis no serviço, mas eles não haviam sido retirados do ar até a publicação.