Depois de alguns meses pesquisando, o criador do fastlane, Felix Krause, publicou um artigo no seu blog falando sobre como qualquer aplicativo para Mac pode gravar a tela do usuário sem que ele saiba.
De acordo com Krause, qualquer aplicativo para macOS, esteja ele fora ou dentro da sandbox da Apple, pode capturar a tela silenciosamente sem que o usuário saiba — além de acessar todos os pixels da tela (mesmo com o aplicativo em segundo plano) e monitores conectados.
O risco não está somente em lhe “observar” pura e simplesmente; Krause listou algumas das piores coisas que pode provir disso como, por exemplo, o app utilizar um simples software de OCR1Optical character recognition, ou reconhecimento óptico de caracteres. para “ler” as suas senhas (mesmo se estiverem em gerenciadores de senhas), saber quais serviços você utiliza (provedor de email, etc.), acessar códigos-fonte, chaves de API2Application programming interface, ou interface de programação de aplicações., dados pessoais como endereço e detalhes do banco, e outras informações sensíveis.
E como isso de fato funciona? Os desenvolvedores utilizam apenas o código CGWindowListCreateImage
para gerar uma captura da tela completa.
Krause comentou algumas medidas que podem funcionar contra esse tipo de problema: o processo de revisão da Mac App Store poderia verificar os direitos da sandbox para acessar a tela; o usuário poderia ser avisado através de uma caixa de diálogo, para que escolha se deseja ou não permitir o acesso, além de ser notificado sempre quando a tela estiver sendo gravada.
Por enquanto, não há nenhuma solução para isso — mas a Apple já foi notificada sobre o problema.
via iClarified
Notas de rodapé
- 1Optical character recognition, ou reconhecimento óptico de caracteres.
- 2Application programming interface, ou interface de programação de aplicações.