Para melhorar a funcionalidade entre o aplicativo do Uber e o Apple
Watch, a Apple permitia ao Uber usar uma poderosa ferramenta que podia
gravar a tela de iPhone dos usuários, mesmo que o app de corridas
estivesse apenas rodando em segundo plano. Isso é o que pesquisadores de
segurança revelaram ao Gizmodo. Depois da descoberta da ferramenta
pelos pesquisadores, o Uber disse que ela não está mais em uso e que
será removida do aplicativo.
A capacidade de gravação vem de uma permissão chamada “entitlement” (“direito”),
um pedaço de código que desenvolvedores de aplicativos podem usar para
qualquer coisa, desde configurar notificações push até interagir com
sistemas da Apple, como iCloud ou Apple Pay. Esse entitlement em particular, no entanto, tinha a intenção de melhorar o gerenciamento de memória para o Apple Watch. O entitlement não
é comum e exigiria a permissão explícita da Apple para ser usado,
explicaram os pesquisadores. Will Strafach, pesquisador de segurança e
CEO do Sudo Security Group, disse que não conseguiu encontrar nenhum
outro app com o mesmo entitlement na App Store.
“Parece que nenhum outro desenvolvedor de terceiros conseguiu fazer com que a Apple lhe garantisse um entitlement privado
sensível dessa natureza”, disse Strafach. “Considerando os problemas de
privacidade antigos do Uber, estou muito curioso para saber como eles
convenceram a Apple a permitir isso.”
Embora o entitlement não seja destinado a isso, a
preocupação é de que o Uber — ou um hacker que tenha conseguido invadir a
rede do Uber — poderia silenciosamente monitorar a atividade na tela do
iPhone de um usuário, colhendo senhas e outras informações pessoais.
“Basicamente, isso lhe dá controle total sobre o suavizador de quadros,
que contém as cores de cada pixel de sua tela. Então, eles podem
potencialmente desenhar na tela ou gravá-la”, explicou Luca Todesco,
pesquisador e jailbreaker de iPhone. “Isso pode potencialmente roubar senhas.”
Se um usuário tiver, digamos, instalado o Lyft em seu celular também, o entitlement
poderia, teoricamente, ser usado para monitorar como o indivíduo usou o
aplicativo de um concorrente — uma teoria maluca, talvez, mas não
inteiramente estranha considerando o uso de um software chamado “Hell”
pelo Uber para rastrear motoristas que trabalhavam tanto para o Uber
quanto para o Lyft. Por outro lado, é possível que a Apple tenha usado
sandbox no entitlement para evitar que ele acessasse dados de fora do aplicativo do Uber.
O Uber diz que o entitlement foi usado para algo muito menos
nefasto do que rastrear motoristas ou vigiar usuários: para melhorar o
desempenho em seu aplicativo para Apple Watch. Strafach apontou que
procurou por indícios de que o entitlement havia sido usado maliciosamente e não encontrou nenhum.
“Ele foi usado para uma antiga versão do aplicativo para Apple Watch,
especificamente para executar o levantamento pesado de mapas de
renderização no seu celular e então enviar a renderização para o
aplicativo no Watch”, afirmou um porta-voz do Uber ao Gizmodo, dizendo
que os primeiros Apple Watches não conseguiam lidar com esse processo
sozinhos. “Essa dependência foi removida com melhorias anteriores ao
sistema operacional da Apple e ao nosso aplicativo. Portanto, estamos
removendo essa API de nossa base de códigos para iOS.”
O entitlement apareceu pela primeira vez no aplicativo do
Uber por volta da época do lançamento do primeiro Watch, em 2015, de
acordo com Strafach. A Apple só deu aos desenvolvedores cerca de quatro meses
para diminuir seus aplicativos antes do lançamento do Watch e fazê-los
funcionar no novo dispositivo, então é imaginável que a Apple tenha
garantido o entitlement ao Uber para que pudessem cumprir o prazo de lançamento apertado.
“A Apple nos deu essa permissão anos atrás porque o Apple Watch não
conseguia lidar com nossa renderização de mapas. Ela não está conectada a
nada na nossa base de códigos atual”, explicou o porta-voz do Uber. O
Gizmodo perguntou à Apple por que o entitlement foi concedido, e vamos atualizar se tivermos uma resposta.
O que sabemos, no entanto, é que o Uber preparou seu app de Watch
dentro da janela de quatro meses e apareceu de forma proeminente durante
o evento de lançamento do dispositivo em março de 2015.
Kevin Lynch, vice-presidente de tecnologia da Apple, demonstrou o app
do Uber no Watch em cima do palco, exibindo como um usuário poderia
pedir um carro e acompanhar seu progresso em um mapa, assim como no
iPhone.
Embora os consumidores possam estar céticos quanto às provisões de
privacidade do Uber, a empresa tem um histórico de colaboração com a
Apple em privacidade. Depois de tomar uma bronca de Tim Cook por suas
práticas de impressões digitais em dispositivos, o Uber trabalhou com a
Apple no desenvolvimento do DeviceCheck, uma ferramenta de impressão digital usada para combater fraudes.
Fonte: Gizmodo