Aplicativo do Uber no iOS tinha permissão secreta para copiar a tela do seu celular
Para melhorar a funcionalidade entre o aplicativo do Uber e o Apple Watch, a Apple permitia ao Uber usar uma poderosa ferramenta que podia gravar a tela de iPhone dos usuários, mesmo que o app de corridas estivesse apenas rodando em segundo plano. Isso é o que pesquisadores de segurança revelaram ao Gizmodo. Depois da descoberta da ferramenta pelos pesquisadores, o Uber disse que ela não está mais em uso e que será removida do aplicativo.
• Senado suaviza texto que quer regulamentar apps de transporte no Brasil
• Apps de transporte fazem lobby junto a usuários para travar regulamentação no Senado
A capacidade de gravação vem de uma permissão chamada “entitlement” (“direito”), um pedaço de código que desenvolvedores de aplicativos podem usar para qualquer coisa, desde configurar notificações push até interagir com sistemas da Apple, como iCloud ou Apple Pay. Esse entitlement em particular, no entanto, tinha a intenção de melhorar o gerenciamento de memória para o Apple Watch. O entitlement não é comum e exigiria a permissão explícita da Apple para ser usado, explicaram os pesquisadores. Will Strafach, pesquisador de segurança e CEO do Sudo Security Group, disse que não conseguiu encontrar nenhum outro app com o mesmo entitlement na App Store.
“Parece que nenhum outro desenvolvedor de terceiros conseguiu fazer com que a Apple lhe garantisse um entitlement privado sensível dessa natureza”, disse Strafach. “Considerando os problemas de privacidade antigos do Uber, estou muito curioso para saber como eles convenceram a Apple a permitir isso.”
Embora o entitlement não seja destinado a isso, a preocupação é de que o Uber — ou um hacker que tenha conseguido invadir a rede do Uber — poderia silenciosamente monitorar a atividade na tela do iPhone de um usuário, colhendo senhas e outras informações pessoais. “Basicamente, isso lhe dá controle total sobre o suavizador de quadros, que contém as cores de cada pixel de sua tela. Então, eles podem potencialmente desenhar na tela ou gravá-la”, explicou Luca Todesco, pesquisador e jailbreaker de iPhone. “Isso pode potencialmente roubar senhas.”
Se um usuário tiver, digamos, instalado o Lyft em seu celular também, o entitlement poderia, teoricamente, ser usado para monitorar como o indivíduo usou o aplicativo de um concorrente — uma teoria maluca, talvez, mas não inteiramente estranha considerando o uso de um software chamado “Hell” pelo Uber para rastrear motoristas que trabalhavam tanto para o Uber quanto para o Lyft. Por outro lado, é possível que a Apple tenha usado sandbox no entitlement para evitar que ele acessasse dados de fora do aplicativo do Uber.
O Uber diz que o entitlement foi usado para algo muito menos nefasto do que rastrear motoristas ou vigiar usuários: para melhorar o desempenho em seu aplicativo para Apple Watch. Strafach apontou que procurou por indícios de que o entitlement havia sido usado maliciosamente e não encontrou nenhum.
“Ele foi usado para uma antiga versão do aplicativo para Apple Watch, especificamente para executar o levantamento pesado de mapas de renderização no seu celular e então enviar a renderização para o aplicativo no Watch”, afirmou um porta-voz do Uber ao Gizmodo, dizendo que os primeiros Apple Watches não conseguiam lidar com esse processo sozinhos. “Essa dependência foi removida com melhorias anteriores ao sistema operacional da Apple e ao nosso aplicativo. Portanto, estamos removendo essa API de nossa base de códigos para iOS.”
O entitlement apareceu pela primeira vez no aplicativo do Uber por volta da época do lançamento do primeiro Watch, em 2015, de acordo com Strafach. A Apple só deu aos desenvolvedores cerca de quatro meses para diminuir seus aplicativos antes do lançamento do Watch e fazê-los funcionar no novo dispositivo, então é imaginável que a Apple tenha garantido o entitlement ao Uber para que pudessem cumprir o prazo de lançamento apertado.
“A Apple nos deu essa permissão anos atrás porque o Apple Watch não conseguia lidar com nossa renderização de mapas. Ela não está conectada a nada na nossa base de códigos atual”, explicou o porta-voz do Uber. O Gizmodo perguntou à Apple por que o entitlement foi concedido, e vamos atualizar se tivermos uma resposta.
O que sabemos, no entanto, é que o Uber preparou seu app de Watch dentro da janela de quatro meses e apareceu de forma proeminente durante o evento de lançamento do dispositivo em março de 2015. Kevin Lynch, vice-presidente de tecnologia da Apple, demonstrou o app do Uber no Watch em cima do palco, exibindo como um usuário poderia pedir um carro e acompanhar seu progresso em um mapa, assim como no iPhone.
Embora os consumidores possam estar céticos quanto às provisões de privacidade do Uber, a empresa tem um histórico de colaboração com a Apple em privacidade. Depois de tomar uma bronca de Tim Cook por suas práticas de impressões digitais em dispositivos, o Uber trabalhou com a Apple no desenvolvimento do DeviceCheck, uma ferramenta de impressão digital usada para combater fraudes.
Imagem do topo: Getty