Proponha uma correção, faça uma sugestão
Uber: API privado do iOS que permitia gravar o ecrã será removido
A Diretora de Segurança de Comunicações e Privacidade da Uber anunciou que a empresa irá remover da aplicação para iOS, o API (conjunto de ferramentas para usar no desenvolvimento de aplicações) que permitia à empresa gravar o ecrã do iPhone sem que os utilizadores perceberem que tal estava a ser feito.
Alguns peritos em segurança informática notaram que a Uber estava a ter acesso a APIs privados da Apple, algo nunca antes visto na história da marca, uma empresa que coloca sempre a privacidade e segurança em primeiro lugar.
Uma surpresa para todos
Esta notícia pode surpreender alguns, já que o histórico de relações da Uber com a Apple tem sido marcado por sérias conversas no que diz respeito à privacidade dos utilizadores. No início deste ano, o próprio Tim Cook teve uma reunião com o CEO da Uber, onde ameaçou retirar a aplicação da App Store, pois descobriu-se que o software estava a seguir e localizar alguns dispositivos específicos.
De facto, no iOS, os programadores podem utilizar aquilo que é chamado de “Entitlement” para conseguir aceder a certos APIs. A ideia por detrás desta ferramenta é permitir que outras aplicações tenham acesso apenas aos recursos providenciados pelo dispositivo e que realmente necessitam. Assim, são os “Entitlements” que conferem capacidades específicas e permissões de segurança às aplicações.
Tal como a Apple refere:
Utilizando cuidadosamente apenas os recursos que são realmente necessários é possível minimizar potênciais riscos se software malicioso infectar uma aplicação.
Como é que a Apple permitiu?
Sem dúvida, é exatamente neste ponto que a aplicação da Uber levantou sérias questões relacionadas com a privacidade e segurança dos utilizadores. Os APIs e “Entitlments” que os programadores podem utilizar são separados em duas categorias: uso público e uso privado. APIs de uso privado não podem ser usados em aplicações que são submetidas para a App Store.
A grande dúvida que se coloca é: Como é que a Uber teve acesso a esse "Entitlement"? Tratando-se de um “Entitlement” privado nenhuma aplicação deveria ter acesso a ele. De facto, investigadores de segurança repararam que apenas Apps criadas pela própria Apple e a App da Uber e que tinham este nível de acesso privado. Sem dúvida, esse acesso teve que ser concedido pela Apple.
De acordo com, Melanie Ensign, o API estava a ser usado para renderizar os mapas da Uber no iPhone e que, posteriormente eram enviados para o Apple Watch. Isto antes do relógio ter capacidade para fazer isso autonomamente. De qualquer das formas, a Uber assegurou que esse API já não está a ser usado e, portanto, vai ser removido.
Conclusão
Ainda assim, permanece um certo mistério e intriga no ar. É estranho a Apple, uma empresa tão focada na privacidade e segurança dos utilizadores, deixar que uma situação destas possa ocorrer. Esperemos que este seja um caso isolado e que a Apple continue a pôr à frente os valores que a distinguem das outras empresas.
Este artigo tem mais de um ano
Loading ...
“É estranho a Apple, uma empresa tão focada na privacidade e segurança dos utilizadores, deixar que uma situação destas possa ocorrer. Esperemos que este seja um caso isolado e que a Apple continue a pôr à frente os valores que a distinguem das outras empresas”
Estranho!?!?! Valores que a colocam a frente…!?!?!?!
Quanta ingenuidade!
Apple é como os outros players, usa uma cortina de fumo para tentar esconder que tem a mesma atitude com os seus utilizadores
Existe algo como injectar frameworks em runtime, o objective-c permite isso. Duvido muito que a Apple esteja por tras disso, acredito mais que a Uber tenha ludibriado o processo de review da app.
UBER… medo muito medo…………
Mais uma empreendorice para wall-Es
Resumidamente:
Apple: “Hey Uber psst! Little secret… take this API to see everything the user is doing… even outside you app”
Uber: “Uhh ohh really? Thanks.. i guess”
Apple: “Just don’t tell nobody, imagine this gets in the wrong hands”
(…)
Apple: “Hey everybody! Uber is a bad guy we will remove their app because we care about privacy!”
*Just an Apple marketing thing…*