Android agora bloqueia o compartilhamento de informações de localização em fotos

 (shkspr.mobi)
1 pontos por GN⁺ 16 일 전 | 2 comentários | Compartilhar no WhatsApp
  • O Android foi alterado para remover automaticamente os metadados de localização EXIF ao enviar fotos, interrompendo recursos de mapeamento de localização em serviços baseados na web
  • O Google explica que a medida visa reforçar a privacidade, com o objetivo de reduzir riscos de perseguição ou roubo
  • Na maioria das formas de compartilhamento, como Bluetooth, QuickShare e envio por e-mail, as informações de localização também são removidas, e apenas a cópia direta por USB permanece como exceção
  • Desenvolvedores criticam o bloqueio da funcionalidade sem aviso prévio e afirmam que, em apps web, não há alternativa, tornando necessário desenvolver um app nativo
  • As opiniões dos usuários se dividem entre mais segurança e menos liberdade de escolha, enquanto continuam as discussões sobre contornos técnicos para preservar dados EXIF ou melhorar os padrões

Android agora bloqueia o compartilhamento de informações de localização em fotos

  • OpenBenches é um site em que usuários compartilham fotos e a localização de bancos memoriais, exibindo o mapa com base nos metadados de localização EXIF das fotos
  • Porém, com a mudança no Android para remover as informações de localização ao enviar fotos, o mapeamento automático de localização pela web deixou de ser possível
  • O método HTML <input type="file" accept="image/jpeg"> permitia enviar, por meio do seletor de fotos, imagens com dados de localização, mas o Google bloqueou isso intencionalmente
    • Depois, o seletor de arquivos genérico recomendado (<input type="file">) ainda preservava as informações EXIF, mas isso também foi bloqueado em uma atualização adicional
  • Em outras formas de compartilhamento, como Bluetooth, QuickShare e envio por e-mail, as informações de localização também são removidas automaticamente, restando como única exceção a cópia direta por cabo USB

Motivo da mudança e posição do Google

  • O Google afirma que a medida tem como objetivo a privacidade (Privacy)
    • Se o usuário compartilhar sem perceber uma foto com dados de localização, isso pode gerar riscos como perseguição ou roubo
  • A maioria dos serviços de redes sociais (Facebook, Mastodon, BlueSky, WhatsApp etc.) remove os dados de localização por padrão e só permite adicioná-los manualmente se o usuário quiser
  • O Google parece ter bloqueado as informações de localização no nível do sistema para evitar “riscos causados pela exposição da localização do usuário”

Reação da comunidade e problemas

  • Não houve aviso prévio nem consulta sobre a mudança, o que causou confusão entre desenvolvedores e usuários
  • Operadores de serviços como o OpenBenches estão recebendo reclamações de usuários dizendo que “a funcionalidade quebrou”, e surgem críticas de que o Google não escuta a opinião da comunidade
  • Mesmo em apps web baseados em PWA, não é possível acessar as informações de localização, deixando o desenvolvimento de um app nativo para Android como a única alternativa
    • Apps Android oferecem uma permissão separada para acessar as informações de localização de fotos

Propostas e pedidos

  • Como alternativa, foi mencionada a introdução de um pop-up de escolha ao enviar fotos, como: “Este site quer ver as informações de localização da foto. Sim/Não/Sempre/Nunca”
    • No entanto, considera-se que a eficácia seria baixa devido ao cansaço dos usuários com avisos e à ambiguidade da mensagem
  • Também se pede que desenvolvedores que conheçam alguma forma de enviar fotos mantendo os dados de localização EXIF no navegador web do Android compartilhem suas opiniões
  • Além disso, para participar da discussão sobre o padrão HTML, o texto incentiva a deixar um feedback +1 em uma issue da especificação HTML do WHATWG

Resumo das opiniões dos usuários

  • Alguns usuários avaliam positivamente a medida do Google, dizendo que ela é um recurso essencial de proteção de privacidade
  • Outros criticam a perda da liberdade de escolha do usuário, defendendo que “usuários adultos precisam ter a liberdade de decidir o que fazer em seus próprios dispositivos”
  • Como contorno técnico, também foi compartilhado o caso de enviar as informações EXIF dentro de um arquivo ZIP
  • De forma geral, a discussão sobre o equilíbrio entre segurança e conveniência continua

Leituras relacionadas

2 comentários

 
unsure4000 16 일 전

Acho que seria melhor colocar isso como uma opção no picker, como no iOS, mas é uma pena bloquearem completamente.
 
GN⁺ 16 일 전
Comentários do Hacker News

  • O uso de geolocalização em imagens enviadas por navegadores móveis é extremamente raro
    A maioria dos usuários não sabe que, ao tirar uma foto, está enviando suas coordenadas de GPS em tempo real para um site
    Teria sido melhor se existisse algo como um atributo includeLocation na tag input, pedindo confirmação ao usuário por meio de um pop-up

    • Quando trabalhei em um órgão governamental, participei de uma campanha de proteção de habitat de tartarugas
      Era um projeto em que cidadãos informavam a localização ao encontrar ninhos, mas como era um simples formulário, surgiu uma enxurrada de dados incorretos
      Então sugeri receber fotos e extrair os dados EXIF, mas recusaram dizendo que, se pedissem localização, as pessoas abandonariam na hora
      No fim, percebi que os usuários relutam enormemente em fornecer localização a sites do governo
    • Muitas das fotos publicadas no Google Maps são selfies pessoais ou imagens privadas
      Em muitos casos, quem enviou nem sabe que sua foto está sendo exposta publicamente, e provavelmente isso foi associado automaticamente pelas informações EXIF
    • Segundo a matéria, isso não é um problema apenas de navegadores móveis: as informações de localização também são removidas em transferências via Bluetooth ou QuickShare
      Dizem que a localização só é preservada se a foto for copiada diretamente por cabo USB e enviada por um navegador de desktop
      Eu gostaria que, no backup em nuvem, as informações de localização permanecessem intactas
    • Um celular no fim das contas também é um computador, e não acho que Google ou Apple tenham motivo para decidir como minhas fotos devem ser usadas
    • Anexar automaticamente a uma foto dados pessoais sensíveis, como latitude e longitude exatas, é uma funcionalidade horrível
      É como se um documento do Word inserisse automaticamente o endereço da minha casa nos metadados

  • Acho que o Google fez certo ao tomar essa medida
    A maioria das pessoas não sabe quanta informação existe nos metadados de uma foto, e removê-los corresponde à expectativa do usuário

    • Se o Google realmente se importasse com privacidade, deveria ter mantido o Maps em um subdomínio separado
      Hoje, para dar localização ao Maps, você também precisa conceder permissão de localização ao Google Search
    • Mas desse jeito uma função útil desaparece completamente
      Como na discussão sobre sideloading no Android, recursos que existiam para uma minoria de usuários avançados acabam sumindo e no fim só restam “dispositivos burros”
    • Bastaria adicionar uma caixa de seleção “incluir localização”, mas bloquear tudo de vez foi exagerado
      Agora só dá para extrair os dados usando cabo USB
    • Dados EXIF são mais poderosos para identificação de identidade do que parece
      Antigamente havia câmeras que registravam o “tempo decorrido desde a inicialização do dispositivo”, e isso podia ser usado para rastrear um usuário específico
    • Também existe a piada de que, se você não conhece dados EXIF, não deveria usar computador
      É um problema tão antigo que até séries dos anos 90 já tratavam do assunto

  • Essa mudança serve para reforçar a privacidade, mas ao mesmo tempo vai na direção oposta da verificação da verdade
    Em uma era inundada por imagens geradas por IA, precisamos de um sistema que permita rastrear a origem e o contexto de criação de uma imagem

  • Também é problemático que o seletor de imagens padrão do Android remova o nome do arquivo
    Por causa disso, os usuários passam a achar que o app está renomeando o arquivo
    No Google Issue Tracker, disseram que isso é “comportamento intencional” e que não vão corrigir

    • O seletor de imagens não tem permissão de acesso ao diretório, então expor o nome do arquivo é inadequado do ponto de vista de segurança
      Se quiser o nome do arquivo, é preciso solicitar permissão de acesso ao diretório
    • Mas essa decisão do Google é estranha
      A maioria dos usuários faz upload direto das fotos tiradas no app de câmera padrão
      Se o problema é localização ou nome do arquivo, bastaria ajustar os metadados no app de câmera

  • A abordagem típica de “proteção de privacidade” de organizações como o Google é bloquear o acesso dos usuários aos dados, enquanto elas próprias continuam tendo acesso
    Alguns apps de mensagem também bloqueiam capturas de tela em nome da “proteção do usuário”, restringindo funcionalidades

    • O Facebook é igual: exporta apenas fotos com EXIF removido, mas internamente continua usando os dados originais
    • Na verdade, esse resultado aconteceu porque o Chrome não solicita dados de localização
      No Android 10 ou superior, um app só pode ler localização em EXIF se declarar e solicitar a permissão ACCESS_MEDIA_LOCATION
      Veja a documentação oficial do Android
    • Alguns mensageiros bloqueiam screenshot apenas em fotos de visualização única, o que é compreensível
      Mas como basta fotografar a tela com outro aparelho, isso não passa de teatro de segurança
    • Tentei gravar o espelhamento do iPhone no macOS, mas por causa do DRM só foi gravada uma tela preta
      Do ponto de vista das empresas isso pode tranquilizar, mas a experiência do usuário é ruim

  • Uma plataforma de denúncias sobre ciclovias mantida por voluntários foi completamente arruinada por essa medida
    O Vigilo.city tinha uma estrutura aberta em que era possível enviar denúncias sem conta, mas com o desaparecimento do GPS EXIF a barreira de uso disparou
    É frustrante, porque não teria sido difícil projetar um fluxo que deixasse clara para o usuário a opção de compartilhar localização

  • O fato de no Android 11 de repente não ser mais possível usar caracteres especiais (:<>?|\*) em nomes de arquivo é um caso parecido
    A justificativa foi compatibilidade com Windows, mas como eu só uso Linux, é uma limitação desnecessária
    Issue relacionada

    • No fim, esse tipo de problema se repete há muito tempo
      Na discussão anterior, o mesmo debate já tinha acontecido
    • Eu padronizo todos os nomes de arquivo com letras minúsculas, números, hífen e ponto
      Isso ajudou a reduzir problemas de sincronização
    • Também houve quem reagisse perguntando que tipo de arquivo alguém nomearia com tantos caracteres especiais
    • Entendo que o Google defina políticas pensando em usuários de Windows e Mac, mas usuários de Linux ficam de lado
    • Usar caracteres como asterisco (*) em nome de arquivo é problemático em qualquer sistema operacional

  • Dá para perceber uma intenção do app Google Photos de gerenciar os arquivos de imagem de forma exclusiva
    Mesmo tentando adicionar localização a fotos editadas ou capturas de tela, ele diz que isso “só será exibido dentro do Photos”
    Ao exportar como arquivo, isso não é salvo no EXIF
    Tanto no Android quanto no iOS, JPEG/PNG são tratados não como arquivos comuns, mas como objetos especiais, e os metadados ficam armazenados apenas no banco de dados interno do app
    No fim, a interoperabilidade desaparece e tudo passa a depender do app Photos

  • Em vez de remover a localização completamente, seria melhor ofuscar as coordenadas (fuzzing)
    Por exemplo, se latitude e longitude fossem divulgadas apenas com uma casa decimal, daria para distinguir algo na faixa de 10 km
    No passado eu fazia muitos diários de viagem e projetos de visualização de dados baseados em localização, mas agora isso ficou quase impossível
    Ironicamente, o Google continua coletando localização precisa para publicidade

    • Porém, em regiões de baixa densidade populacional, mesmo uma faixa de 10 km ainda traz risco de identificação pessoal
      Se houver apenas uma casa na área, já dá para identificar imediatamente
    • Ofuscar localização é a pior escolha possível, porque perde tanto em privacidade quanto em funcionalidade
      Em vez disso, seria melhor que o seletor de arquivos tivesse algo como um atributo includeExif, com confirmação explícita do usuário

  • Essa medida vai na direção certa
    Como discutido na issue do WHATWG, o ideal é que o navegador adicione explicitamente uma funcionalidade para lidar com informações de localização
    Ainda assim, remover o recurso sem uma alternativa é um problema

    • A ordem deveria ter sido invertida
      Primeiro deveriam criar uma UI de opt-in/opt-out, e só depois mudar o padrão
      Do jeito que está, a tarefa em si se tornou impossível
    • Faz sentido desativar tags de localização por padrão, mas deveriam ter esperado até que uma alternativa fosse adicionada à especificação padrão (WHATWG)