FBI: O perigo em usar conversores de arquivos online

Em abril de 2024, o WordPress 6.5 trouxe, entre outras novidades, suporte nativo ao formato de imagens *.avif.

Pessoas normais só se importam com formatos de arquivos de imagens quando topam com incompatibilidades — a Apple e seu *.heic para fotos tiradas com o iPhone é, acho, a maior força de ~conscientização nessa frente. Eu, que sou anormal, passei meses refletindo se as vantagens evidentes do *.avif se sobrepunham à universalidade de antecessores menos eficientes, como *.jpg e *.png.

Faz algumas semanas, decidi dar o salto e adotar o *.avif para (quase) todas as imagens deste Manual.

Outra desvantagem dos formatos modernos é a falta de suporte. Qualquer aplicativo que lide com imagens consegue lidar com um arquivo *.jpg. Já um *.avif… boa sorte. Tanto que, até dias atrás, meu fluxo de trabalho para com elas consistia em gerar uma imagem original em *.jpg/*.png com a maior qualidade possível e, em seguida, convertê-la no Squoosh, uma aplicação web da equipe do Chrome, do Google.

Funciona? Sim, e super bem. Só que eu não curto muito a ideia de depender de um site para o meu fluxo de publicação — ele pode ficar indisponível ou mesmo sair do ar.

Existem alguns conversores de/para *.avif para o macOS. E existem aplicativos de terminal para esse fim, que me agradam mais.

Estou usando/testando dois, a libavif, ferramenta oficial do formato, e a cavif, do mesmo criador do ImageOptim. Ambas são ótimas. Não sei mesmo qual usar.

Foi durante essa pesquisa, aliás, que topei com um novo tipo de ameaça online, a dos golpes envolvendo conversores de arquivos online. O alerta é do FBI (sim, a polícia federal estadunidense):

Para operar esse esquema, cibercriminosos do mundo todo estão usando qualquer tipo de ferramenta gratuita de conversão ou download de documentos. Pode ser um site que afirma converter um tipo de arquivo em outro, como um *.doc para *.pdf. Também pode ser um que prometa combinar arquivos, como juntar vários arquivos *.jpg em um único *.pdf. A aplicação suspeita pode se apresentar como uma ferramenta para baixar arquivos *.mp3 ou *.mp4.

Esses conversores e ferramentas de download executam a tarefa prometida, mas o arquivo resultante pode conter um malware oculto, dando acesso aos criminosos ao computador da vítima. As ferramentas também podem vasculhar o arquivo enviado para extrair:

• Informações pessoais identificáveis, como números de documentos oficiais, datas de nascimento, telefones etc.
• Dados bancários.
• Dados de criptomoedas (frases-semente, endereços de carteiras etc.).
• Endereços de e-mail.
• Senhas.

Infelizmente, muitas vítimas não percebem que foram infectadas até que seja tarde demais e tenham seu computador infectado com ransomware ou sua identidade roubada.

Atire a primeira pedra quem nunca abriu o Google (ou outro buscador), pesquisou por “doc para pdf” e usou o primeiro site da lista de resultados. Culpado!

Claro, existem serviços legítimos e seguros, como o já mencionado Squoosh. Nem sempre nos lembramos deles, em especial quando a nossa necessidade é esporádica ou em ambientes corporativos regulados, onde a instalação de aplicativos é proibida pelo departamento de TI e alternativas “online” (na web) são usadas para burlar essas políticas de segurança.

Há toda uma categoria de aplicativos locais super poderosos para tais tarefas: FFmpeg (áudio e vídeo; linha de comando), Handbrake (vídeo, com interface gráfica), GraphicsMagick (linha de comando)… Todos gratuitos e de código aberto, porém mais complexos que as interfaces simples das aplicações web, porém.

Não é a minha intenção fazer alarmismo de uma hipótese rara, ainda que plausível (ou assim diz o FBI). Talvez a solução para a insegurança online seja mesmo aquela velha máxima que diz que o único computador seguro é o que está desligado e enterrado a sete palmos.