As falhas de segurança são apenas um dos problemas do Java: cuidado com as armadilhas do instalador

O Java ainda é bastante forte em automação industrial e aplicações específicas feitas sob demanda, mas para o usuário médio ele é, cada vez mais, apenas uma lembrança. Tem quem ainda dependa dele, e se for o seu caso, muita atenção. Os recentes buracos de segurança encontrados no Java não são seu único problema.

Uma tática comum em pequenas desenvolvedoras de software para lucrar rapidamente é embutir instaladores de barras de ferramentas e outros add-ons chatos aos seus instaladores principais. Você já deve ter caído em algum, é o tipo de problema que a gente só aprende a evitar batendo cabeça. E isso é antigo — no final do século passado o ICQ já nos brindava com “extras” pra lá de suspeitos.

A Oracle, dona do Java, usa essa prática. E a usa agressivamente, como constatou Ed Bott, do ZDNet. Ele passou um fim de semana de certo não muito agradável testando o instalador e o updater do Java para avaliar o comportamento das ofertas e o resultado não foi nada legal.

Como age a barra de ferramentas oferecida pelo instalador do Java

O Java oferece a instalação da barra de ferramentas do Ask.com, um buscador bem antigo e hoje com pouca expressão. Os problemas começam já na tela que oferece a barrinha: a caixa de seleção é marcada por padrão. Se você costuma apertar Enter compulsivamente em instaladores no Windows, grandes são as chances de você instalar essa coisa sem perceber.

A instalação da barra do Ask.com não é imediata. Há um atraso, proposital, no seu instalador: ele fica ocioso por dez minutos e só então entra em ação, em segundo plano. Essa tática é usada para evitar que a pessoa vá ao Painel de Controle imediatamente após a instalação e remova os componentes indesejados. A desinstalação, aliás, não retorna ao padrão as configurações dos navegadores.

O que esses componentes fazem é, além de instalar a famigerada barra de ferramentas nos três principais navegadores do mercado (Internet Explorer, Firefox e Chrome), mudar a página inicial, o mecanismo de busca e a página padrão de erro do navegador. Elas são substituídas por versões grotescas, cheias de anúncios disfarçados de links legítimos. Uma mina de ouro para a empresa, uma dor de cabeça para o usuário.

Para piorar, o updater do Java refaz todo o processo, incluindo o oferecimento da barrinha do mal. Como o Java é uma colcha de retalhos e só na sétima versão já foram onze atualizações, os usuários ficam constantemente expostos a esse problema.

Os navegadores cumprem um papel importante ao desabilitarem a ativação de add-ons instalados sem o consentimento do usuário por padrão (só falta o Chrome, mas isso já está chegando), mas até nisso os caras do Ask.com pensaram: no primeiro uso, setas gritantes apontam para botões que concedem acesso do seu software ao navegador. Alguém menos entendido, ou que não entenda inglês, se vê compelido a seguir a orientação exposta na tela.

O que fazer para se proteger?

A recomendação de Bott (e de vários especialistas em segurança) é drástica: se puder, não use o Java. Nem o instale. Dá para viver bem sem ele — sou prova viva, passei dois anos assim. Quando menos se espera, porém, surge alguma coisa que o obriga a ter o Java instalado. Nesses casos, a melhor abordagem, além de atenção absoluta na instalação e atualizações, é mantê-lo desativado quando ele não for necessário. Os links a seguir trazem instruções em português sobre como desativar complementos no Chrome, Firefox, Internet Explorer e Safari. [ZDNet]