Eu gostaria de entender o que acontece na Uber. Qualquer coisa que sai de dentro da companhia parece reforçar uma ideia de moral duvidosa, de empresa maléfica — e isso vale tanto para as diversas acusações de ambientes de trabalho insalubres, com casos frequentes de assédio moral e sexual, até várias infrações flagrantes da privacidade dos usuários. Essa nova história pode cair na segunda opção — depende do grau de boa vontade com o qual você analisa os fatos.
O pesquisador Will Strafach descobriu que o aplicativo da empresa para iOS tinha, por meio do código com.apple.private.allow-explicit-graphics-priority, acesso às APIs de gravação de tela mesmo quando rodando em plano de fundo – ou seja, essencialmente, ele podia capturar a atividade do usuário mesmo fora do ambiente do app. Como bem se sabe, esta é uma permissão que não é concedida por padrão no iOS e precisa ser obtida diretamente com a própria Apple, que analisa a situação caso a caso e abre exceções de acordo com a necessidade. De fato, segundo Strafach, nenhum outro app disponível na loja da Maçã dispõe de tal habilidade hoje.
Mas por que raios a Uber precisa da permissão para gravar as telas dos usuários, então? A própria empresa explica: quando o primeiro Apple Watch foi lançado, seu hardware deveras limitado impedia que a versão do aplicativo da Uber para o reloginho renderizasse mapas com sucesso; eles, então, solicitaram a permissão à Apple para que pudessem capturar os mapas do app para iPhone e enviar a informação para o Apple Watch.
Claro que, hoje em dia, as versões mais recentes do Apple Watch já podem renderizar mapas por si mesmas e a permissão não se faz mais necessária — tanto é que ela simplesmente existia, lá, sem ser utilizada. A Uber já se apressou a informar que o pedaço de código que lhe permite capturar telas mesmo em plano de fundo será retirado na próxima versão do app mas, ainda assim, a informação deixou os pesquisadores de segurança — bem como alguns usuários — de cabelo em pé.
Não é para menos: uma permissão dessas é uma porta de entrada em potencial para que agentes maliciosos façam a festa com os iPhones do mundo. Se um hacker invadisse a rede da Uber, poderia facilmente capturar telas dos smartphones de milhões de usuários do mundo todo e essencialmente obter informações sigilosas, como senhas e números de cartão de crédito, sem grandes problemas. A probabilidade, aliás, torna-se ainda maior quando se percebe que o código que permite este comportamento estava lá, esquecido, e poderia assim permanecer eternamente caso os pesquisadores não o tivessem detectado.
Francamente, é no mínimo estranho que a Apple tenha permitido algo assim em primeiro lugar — não seria melhor simplesmente negar a solicitação e deixar a Uber de fora das primeiras versões do Apple Watch? A atitude parece muito discrepante com a imagem de empresa preocupada com a segurança e a privacidade dos usuários que a Maçã adora projetar. E talvez seja (mais) um bom alerta para o fato de que, no mundo digital, a proteção completa não passa de uma bela ilusão.
De qualquer forma… se você for usuário da Uber, é recomendável atualizar o seu aplicativo assim que possível.
Requer o iOS 15.0 ou superior
via MacRumors
