Cadastro no Gmail agora muda para escanear um QR code e enviar uma mensagem de texto

 (discuss.privacyguides.net)
3 pontos por GN⁺ 2 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O método de registro da Conta Google foi alterado: em vez da verificação tradicional por recebimento de SMS, agora o próprio celular do usuário envia um SMS
  • Ao escanear um QR code no smartphone, um SMS é enviado automaticamente ao Google, realizando a verificação do número de telefone
  • Com essa mudança, fica bloqueada a criação de contas por meio de serviços temporários de recebimento de números, como o SMSpool
  • Há efeito positivo contra phishing, mas para usuários preocupados com privacidade surge o problema de tornar mais difícil a criação de contas anônimas
  • Devido ao registro nominal de SIM em alguns países e à redistribuição de números, cresce a discussão sobre se o Google pode rastrear a identidade com base no histórico de números antigos ou exigir nova verificação

Método de registro alterado

  • O registro anterior por QR code não funciona mais e, ao escanear o QR code no smartphone, o celular do usuário envia um SMS ao Google, validando o número de telefone
  • Esse método foi introduzido por motivos de segurança e tem o efeito de dificultar mais o phishing
  • Por outro lado, a verificação por serviços voltados apenas ao recebimento de SMS, como o SMSpool, deixa de ser possível

Preocupações relacionadas à privacidade

  • Usuários comuns normalmente não usam serviços de verificação por SMS, e os mais afetados por essa mudança são principalmente pessoas que valorizam a privacidade
  • A compra de contas usadas traz riscos próprios, já que não é possível saber a relação com o dono anterior
  • Também há reações dizendo que o Google está se tornando cada vez mais fechado e que serão necessários métodos de contorno

Aplicação regional da verificação por QR code

  • Surgem dúvidas sobre se a verificação por QR code é aplicada da mesma forma em todos os países
  • Em alguns países, como a Itália, é obrigatório registrar um documento de identidade ao comprar um SIM, e não está claro se uma conta criada com esse número pode ser rastreada depois que o número for reatribuído
  • O Google mantém o histórico de todos os números de telefone registrados pelo usuário, mas não permite verificação com números que ele já não possui mais

Contestação sob a ótica de segurança

  • O método em que o celular do usuário envia um SMS levanta preocupação sobre a possibilidade de spoofing de número de telefone, o que gera dúvidas sobre seu uso em MFA
  • Também se prevê que acabará surgindo um novo serviço de contorno que ofereça envio de SMS

Leituras relacionadas

1 comentários

 
GN⁺ 2 시간 전
Comentários do Hacker News

  • Há muitas reclamações sobre o Gmail, mas também dá para entender até certo ponto a situação em que o Google se meteu
    Na prática, ele acabou preso ao papel de manter gratuitamente uma grande parte da infraestrutura da internet, e há tantos usuários que, se encerrasse o serviço, o mundo inteiro entraria em caos
    O custo de manutenção é alto, complexo e demorado, além de ser ao mesmo tempo origem e destino de spam e fraudes. Também há o peso de ter de guardar dados praticamente para sempre
    Ainda assim, acho que a própria ideia de e-mail gratuito é fundamentalmente ruim. É difícil esperar que um serviço de e-mail gratuito seja bom ou bem suportado, e o fato de ainda existir talvez tenha mais a ver com medo das consequências do que com boa vontade. É melhor simplesmente usar um serviço de e-mail pago e ficar mais tranquilo

    • Não acho correto dizer que foi “obrigado a assumir isso de graça”. O Google ofereceu isso de graça por conta própria, e na época o espaço gratuito era absurdamente grande
      Naquele tempo, caixas postais de ISPs que davam 25 MB ou 50 MB já eram consideradas bem razoáveis, mas o Google ofereceu 1 a 2 GB para atrair as pessoas
      Ele tem todo o direito de tomar medidas para evitar abuso e não é obrigado a continuar oferecendo de graça, mas não foi forçado a assumir e-mail gratuito, nem a oferecer um benefício muito maior que o dos concorrentes; isso foi escolha dele
    • Não sei o que “gratuito” quer dizer aqui. O Google fica com todos os dados que obtém dos usuários e agora consegue rastreá-los mesmo quando não estão usando o celular
      Ele também controla como a internet funciona. Pode impor HTTPS e lidar como quiser com rastreadores ou etags
      Pode vender todas as informações sobre os usuários por um bom preço e, pelos termos, mesmo que as repassasse em pedaços, os usuários dificilmente conseguiriam protestar. Pode parecer gratuito por fora, mas muita gente paga um prêmio ao Google de várias formas
      O Google de antigamente era respeitado por supostamente tornar o mundo melhor com inovação e boas ideias, mas o de hoje ainda muda o mundo, só que não necessariamente em uma direção melhor para todos
    • Isso simplesmente não é verdade. O Google encerra produtos e serviços com frequência e sem cerimônia
      Se o Gmail custasse mais do que os dados que ele extrai e vende dos usuários, o Gmail não existiria
    • O Gmail nunca foi gratuito, nem hoje nem no passado. Todo mundo paga a conta
      Para empresas entrarem em contato com clientes, elas precisam pagar para entrar em listas de permissão de envio em massa, e esse custo é repassado até para clientes que nunca usaram Gmail
      Se uma empresa não paga por essas listas e tem muitos clientes que usam Gmail, ela precisa limitar a velocidade de envio com cuidado, então os e-mails podem nem chegar no mesmo dia
      Empresas de marketing por e-mail e de campanhas também pagam por essas listas e repassam o custo aos clientes. Nunca existiu provedor de e-mail que recebesse gratuitamente e-mails em massa para milhões de pessoas
    • O ecossistema do Google teve mais de 130 bilhões de dólares de lucro no ano passado, então não dá para sentir pena nenhuma

  • Se houver alguém responsável pelo Gmail aqui, eu gostaria que explicasse por que o Gmail permite e-mails de phishing que abusam dos próprios serviços do Google, como https://storage.googleapis.com/savelinge/
    Mais detalhes aqui: https://news.ycombinator.com/item?id=46665414

    • O spam recentemente está ficando realmente pesado. Há golpes que usam sites legítimos para driblar filtros, inclusive enviando cobranças por meio de sites normais de geração de faturas
      Também fingem ser serviços de rastreamento de entrega de algo que você comprou, simulam ao longo de vários dias que o pacote foi perdido e depois tentam fazer você usar num site de phishing um código de desconto equivalente ao “valor da compra”
      O Gmail não só falha em classificar esses e-mails como spam, como ainda os marca como importantes, com alerta prioritário e até resumo
    • Parece que, se os próprios serviços do Google estiverem envolvidos, para o Google está tudo bem. *.bc.googleusercontent.com vem sendo usado há anos praticamente como uma fazenda de spam, a ponto de eu bloquear tudo
      Mas o Google aparentemente não quer nem pensar em causar o menor incômodo a usuários do Compute Engine
    • Pelo mesmo motivo de a filtragem de spam ser difícil. Se tentarem pegar todo abuso do serviço, haverá falsos positivos demais, então isso se torna inviável
    • Não tenho resposta, mas ao menos isso dá uma hipótese para explicar por que spam óbvio e idiota de “Costco” vindo de endereços @gmail.com continua entrando na caixa de entrada por mais que eu marque como spam
    • O Google aparentemente não consegue impedir que o AppSheet, que ele adquiriu, seja usado por phishers para mandar e-mails bem convincentes e direcionados. Esses e-mails chegam até à caixa de entrada normal
      Se ignorarem o pedido, talvez só reste encaminhar essas mensagens de golpe de recrutamento para as equipes jurídica, antifraude e antiphishing da marca que está sendo falsificada. Se a empresa parecer desinteressada, uma notificação formal em nome de um escritório de advocacia talvez ajude a elevar a prioridade

  • Sobre a afirmação de que “ao usar um QR code no smartphone, um SMS é enviado do telefone para o Google para verificar o número”, eu gostaria de uma fonte melhor do que comentários de fórum que parecem achar que escanear o QR code sozinho já envia uma mensagem
    Fui verificar e isso é só um SMS URI. Nada é enviado automaticamente; ele apenas abre a mensagem de texto que o usuário vai enviar
    No fim, é só a antiga verificação por número de telefone com uma conveniência extra via QR code

    • Não sei o que acontece se o celular não conseguir fazer isso. Eu uso um flip phone, ele tem câmera, mas não consegue escanear QR code
    • Antes, o método era o usuário receber o SMS. Agora, como receber SMS ficou fácil pagando 30 centavos para fazendas de telefones, o Google está mudando para o usuário enviar a mensagem. As fazendas de telefones vão se adaptar logo também, mas enfim
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • Imagino que basta abrir o app de mensagens no celular com o número e o texto já preenchidos. O usuário só precisa tocar em enviar
    • Verificação de número de telefone normalmente não é o Google que manda um SMS para o usuário? O sentido inverso parece estranho

  • Os movimentos recentes do Google parecem exatamente o tipo de prova decisiva de que um tribunal antitruste precisava. É um “faça isso, ou então...”
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab e Google Play deveriam todos ser negócios sustentáveis de forma independente, separados da máquina de anúncios do Google
    O Gmail deveria ter de competir por usuários com outros provedores de e-mail, e o reCAPTCHA deveria ter de cobrir todo o custo de infraestrutura só com a própria receita. Essa seria uma boa forma de nivelar o ambiente competitivo, abafar críticas e dar algum alívio

    • O Google alegou que a IA era uma ameaça gigantesca ao seu império de busca e de anúncios. Mas, poucas semanas depois de um juiz impor medidas surpreendentemente fracas contra o abuso de monopólio do Google, a empresa fechou parceria com a Apple para que quase 100% dos agentes de IA padrão dos smartphones sejam baseados no Google
    • Se o Google é tão monopolista assim em e-mail, então não seria só usar qualquer outro serviço de e-mail, gratuito ou pago, disponível online?

  • Recentemente ajudei uma pequena empresa a configurar uma conta do Google Workspace, e batemos numa barreira durante o cadastro
    Eu disse aos donos que, se o Google já é tão complicado na fase de inscrição, imagine quando a conta for bloqueada depois e o trabalho dos clientes depender dela. Mostrei alguns casos de terror sobre bloqueio de conta do Google, e no fim eles escolheram outra solução de colaboração para empresas

    • Se você tentar fazer upgrade do Business Standard para o Business Plus, o Google reduz temporariamente o armazenamento do Workspace de 2 TB por usuário para 0 bytes por até 24 horas durante o upgrade
      A resposta real do suporte foi: “Verifiquei que sua conta foi atualizada de Business Standard para Business Plus e o armazenamento está aparecendo como 0 bytes. Não precisa se preocupar, isso é completamente normal”
      Também disseram: “Quando a assinatura é atualizada, o sistema de backend primeiro desvincula a alocação de armazenamento existente do Business Standard antes de provisionar o novo limite do Business Plus, e durante esse período de transição a cota fica temporariamente com o padrão de 0”
      Por fim, mandaram ativar o limite de armazenamento por usuário ou o limite de armazenamento do drive compartilhado e desligar cinco minutos depois, mas essa tentativa de resetar a cota mais rápido falhou, e no fim levou horas mesmo
    • Foi por isso que comecei um plano para migrar todos os domínios que administro para fora do Gmail. Como produto, o Gmail não melhora de verdade e fica cada vez mais irritante, sempre tentando vender algo a mais que eu não quero nem preciso
      A cada ano ele piora um pouco. A escala do Gmail é tão grande que, mesmo pagando, a chance de conseguir suporte é quase zero, e esse risco é grande demais para aceitar
    • Fiquei curioso sobre o que significa exatamente “batemos numa barreira durante o cadastro”. Foi esse problema do envio de SMS após escanear QR code neste artigo, ou foi outra coisa?
    • Uso isso desde 2013 e tenho ficado bastante satisfeito
      Mas no último ano comecei a ouvir reclamações de que os pop-ups relacionados a IA são irritantes e que os funcionários não querem usá-los
    • Fiquei curioso para saber o que vocês usam no lugar. A grama do vizinho sempre parece mais verde
      Ainda assim, não surpreenderia se a Microsoft, mesmo com produto pior, oferecesse um suporte melhor

  • Acabei de testar o fluxo de cadastro eu mesmo e não precisei de QR code. Foi o mesmo processo de anos
    Escolher pessoal/filho/empresa, digitar nome, escolher e-mail, data de nascimento, e-mail de recuperação ou pular, senha, número de telefone, confirmar o código de autenticação em dois fatores e pronto
    Criei a conta testregistrationflow@gmail.com e já esqueci a senha, então ela foi basicamente sacrificada. Você pode testar com testregistrationflow1@gmail.com para ver se funciona sem QR code
    O título claramente retrata de forma errada um fluxo específico que se aplica a pessoas tentando criar muitas contas do Gmail programaticamente

    • Isso provavelmente é ativado dependendo de quanto o Google considera que o usuário é confiável. Fatores como usar Linux, usar Firefox e usar VPN podem influenciar
    • Se o número de telefone usado na autenticação em dois fatores ficar marcado como “usado muitas vezes”, o cadastro pode travar no meio
      Não parece haver um limite documentado, e a única solução que as pessoas encontraram foi pedir para o número de telefone de outra pessoa ajudar na verificação
      O pior é quando você é desconectado de uma conta existente. Ao tentar entrar, ele exige o número de telefone da 2FA e, mesmo digitando o mesmo número usado na verificação de cadastro original, a autenticação falha porque o número teria sido usado vezes demais
      Aí você não consegue entrar nem numa conta legítima que já existia. Claro, você deveria ter adicionado outro método de 2FA ou passkeys, mas ainda é difícil entender por que não pode se verificar de novo com o número usado no início
      Além disso, você também não pode usar um número do Google Voice para a verificação de conta por 2FA ao se cadastrar em outros serviços do Google
    • Talvez fosse melhor voltar ao sistema original por convite usado no lançamento do Gmail
      Se cada conta pudesse convidar apenas um número pequeno e finito de novas contas, isso poderia ser uma forma de barrar golpistas
    • Se você criar a conta a partir do celular por meio dos serviços do Google, nem número de telefone é necessário
    • Hoje encontrei tanto o desafio de QR do Google quanto o desafio tradicional. Estão liberando isso aos poucos

  • Dizer “você precisa escanear um QR code” é como dizer que, para abrir a porta do trem, você precisa escanear um QR code, omitindo que a exigência real é vincular o telefone às informações de pagamento para cobrança
    O que o Google está verificando aqui não é a capacidade de transformar uma matriz de dados em bytes

  • Isso parece uma mudança de “segurança”, mas ao mesmo tempo também parece bastante conveniente para eliminar muitos fluxos de trabalho que preservam a privacidade

    • Acho que é exatamente isso. Vigilância total só funciona se as pessoas forem obrigadas a usar uma coleira de rastreamento
      O próximo passo pode ser ligar isso a uma moeda digital de banco central que exija número de telefone para acesso à carteira e atrelar tudo a documento de identidade real ou passaporte para restringir deslocamentos
      A autenticação em dois fatores acabou virando a cunha que destrói a privacidade
    • Existem serviços online que fornecem números de telefone temporários para ativação de contas, para contornar exigências do Google, mas a maioria só consegue receber mensagens
      Exigir que o usuário envie um SMS parece uma ótima forma de eliminar esses serviços e impedir que bots continuem usando-os
      Não sei exatamente o que significaria um fluxo de preservação de privacidade numa conta do Google. O Google consegue rastrear o usuário mesmo sem saber o número de telefone