Depois de alguns meses pesquisando, o criador do fastlane, Felix Krause, publicou um artigo no seu blog falando sobre como qualquer aplicativo para Mac pode gravar a tela do usuário sem que ele saiba.
De acordo com Krause, qualquer aplicativo para macOS, esteja ele fora ou dentro da sandbox da Apple, pode capturar a tela silenciosamente sem que o usuário saiba — além de acessar todos os pixels da tela (mesmo com o aplicativo em segundo plano) e monitores conectados.
O risco não está somente em lhe “observar” pura e simplesmente; Krause listou algumas das piores coisas que pode provir disso como, por exemplo, o app utilizar um simples software de OCR1 para “ler” as suas senhas (mesmo se estiverem em gerenciadores de senhas), saber quais serviços você utiliza (provedor de email, etc.), acessar códigos-fonte, chaves de API2, dados pessoais como endereço e detalhes do banco, e outras informações sensíveis.
E como isso de fato funciona? Os desenvolvedores utilizam apenas o código CGWindowListCreateImage
para gerar uma captura da tela completa.
Krause comentou algumas medidas que podem funcionar contra esse tipo de problema: o processo de revisão da Mac App Store poderia verificar os direitos da sandbox para acessar a tela; o usuário poderia ser avisado através de uma caixa de diálogo, para que escolha se deseja ou não permitir o acesso, além de ser notificado sempre quando a tela estiver sendo gravada.
Por enquanto, não há nenhuma solução para isso — mas a Apple já foi notificada sobre o problema.
via iClarified