A Diretora de Segurança de Comunicações e Privacidade da Uber anunciou que a empresa irá remover da aplicação para iOS, o API (conjunto de ferramentas para usar no desenvolvimento de aplicações) que permitia à empresa gravar o ecrã do iPhone sem que os utilizadores perceberem que tal estava a ser feito.
Alguns peritos em segurança informática notaram que a Uber estava a ter acesso a APIs privados da Apple, algo nunca antes visto na história da marca, uma empresa que coloca sempre a privacidade e segurança em primeiro lugar.
Uma surpresa para todos
Esta notícia pode surpreender alguns, já que o histórico de relações da Uber com a Apple tem sido marcado por sérias conversas no que diz respeito à privacidade dos utilizadores. No início deste ano, o próprio Tim Cook teve uma reunião com o CEO da Uber, onde ameaçou retirar a aplicação da App Store, pois descobriu-se que o software estava a seguir e localizar alguns dispositivos específicos.
De facto, no iOS, os programadores podem utilizar aquilo que é chamado de “Entitlement” para conseguir aceder a certos APIs. A ideia por detrás desta ferramenta é permitir que outras aplicações tenham acesso apenas aos recursos providenciados pelo dispositivo e que realmente necessitam. Assim, são os “Entitlements” que conferem capacidades específicas e permissões de segurança às aplicações.
Tal como a Apple refere:
Utilizando cuidadosamente apenas os recursos que são realmente necessários é possível minimizar potênciais riscos se software malicioso infectar uma aplicação.
Como é que a Apple permitiu?
Sem dúvida, é exatamente neste ponto que a aplicação da Uber levantou sérias questões relacionadas com a privacidade e segurança dos utilizadores. Os APIs e “Entitlments” que os programadores podem utilizar são separados em duas categorias: uso público e uso privado. APIs de uso privado não podem ser usados em aplicações que são submetidas para a App Store.
A grande dúvida que se coloca é: Como é que a Uber teve acesso a esse “Entitlement”? Tratando-se de um “Entitlement” privado nenhuma aplicação deveria ter acesso a ele. De facto, investigadores de segurança repararam que apenas Apps criadas pela própria Apple e a App da Uber e que tinham este nível de acesso privado. Sem dúvida, esse acesso teve que ser concedido pela Apple.
De acordo com, Melanie Ensign, o API estava a ser usado para renderizar os mapas da Uber no iPhone e que, posteriormente eram enviados para o Apple Watch. Isto antes do relógio ter capacidade para fazer isso autonomamente. De qualquer das formas, a Uber assegurou que esse API já não está a ser usado e, portanto, vai ser removido.
Conclusão
Ainda assim, permanece um certo mistério e intriga no ar. É estranho a Apple, uma empresa tão focada na privacidade e segurança dos utilizadores, deixar que uma situação destas possa ocorrer. Esperemos que este seja um caso isolado e que a Apple continue a pôr à frente os valores que a distinguem das outras empresas.