iOS 14 expõe apps que ‘espiam’ dados na área de transferência dos iPhones

Notificação no iOS 14 quando app acessa área de transferência
Recurso de privacidade do iOS 14 fez com que várias empresas se pronunciassem sobre o acesso desnecessário (e escondido) à área de transferência dos usuários

O novo iOS 14, cuja versão beta foi disponibilizada recentemente para desenvolvedores parceiros da Apple, mostrou algo preocupante: muitos aplicativos “espiam” constantemente o conteúdo que está na área de transferência do usuário.

Quando você copia alguma coisa — seja um link, texto ou o que for — esse conteúdo fica na área de transferência. E um dos novos recursos relacionados à privacidade do novo sistema operacional da Apple passou a notificar os usuários toda vez que um aplicativo acessava esse conteúdo. Foi assim que alguns desenvolvedores descobriram que os aplicativos do TikTok, LinkedIn e Reddit faziam isso constantemente.

O usuário Donald Morton postou no Twitter um vídeo mostrando como isso acontece na prática. Veja abaixo:

Entenda porque apps ‘espiarem’ sua área de transferência é problemático

É importante deixar claro que a prática em si de acessar e copiar conteúdos da área de transferência não é um problema. É por meio desse mecanismo, por exemplo, que um navegador consegue sugerir que você acesse o site que acabou de copiar o link. É graças a esse mecanismo, também, que um código de confirmação que você acabou de copiar num app apareça automaticamente em outro.

Estes exemplos mostram esse mecanismo cumprindo seu propósito, que é de deixar a experiência do usuário mais fluida e funcional. Isso, claro, desde que esse conteúdo não seja armazenado em nenhum lugar externo ao dispositivo e seja usado apenas de maneira local.

Notificação no iOS 14 quando app acessa área de transferência
Mecanismo é útil para navegadores sugerirem sites

O problema é quando aplicativos usam esse mecanismo de maneira tão frequente e consistente sem necessidade. Isto é, usam esse mecanismo sem ele ser necessário para o funcionamento do próprio app e sem ter o propósito de melhorar a experiência do usuário.

De acordo com Jake Moore, especialista em cibersegurança na ESET, o mais preocupante é a possibilidade destes aplicativos acabarem acessando senhas e informações bancárias nas áreas de transferência dos usuários. Principalmente, ressaltou o especialista, se esse acesso acontecer num gerenciador de senhas que não tenha a autenticação de dois fatores.

“Nas mãos erradas, qualquer tipo de ‘bisbilhotagem’ na área de transferência pode ser bem prejudicial”

Jake Moore, especialista em cibersegurança na ESET

Por mais que esse não pareça ter sido o caso (até o momento), fato é que alguns aplicativos têm acessado e copiado conteúdo dos usuários sem que eles soubessem e sem necessidade. E isso é preocupante.

Saga do iOS 14 expondo essa prática dos apps

O primeiro aplicativo a ser exposto pelo novo recurso do iOS 14 foi o TikTok. Quem postou o vídeo foi Jeremy Burge, CEO da Emojipedia. Confira:

A empresa, que faz parte da chinesa Bytedance, consertou esse acesso três dias após ser exposta. O TikTok informou, num comunicado, que isso acontecia com o objetivo de “identificar comportamento repetitivo e de spams”.

Outra empresa que passou pelo mesmo processo foi o Reddit, exposto pelo usuário Donald Morton. 

A empresa informou, ao The Verge, que isso acontecia por conta de “um caminho de código programado para verificar URLs na área de transferência do usuário e sugerir um título de postagem com base no texto das URLs”. O Reddit também reiterou que não armazena nem manda os conteúdos das áreas de transferência.

Ícone do LinkedIn
LinkedIn foi uma das empresas expostas pelo novo recurso do iOS 14

Em seguida, o mesmo usuário expôs que o LinkedIn também copiava conteúdos da área de transferência. Só que dessa vez Morton viu no seu iPad Pro que o LinkedIn fazia isso com a área de transferência do seu MacBook Pro. 

O vice-presidente de engenharia do LinkedIn, Erran Berger, explicou que isso acontecia porque um caminho de código estava programado para realizar uma verificação de igualdade entre o que estava na área de transferência e o que estava sendo digitado numa caixa de texto. Berger também informou que a empresa não armazena nem transmite conteúdos das áreas de transferência.

Até a emissora The Weather Network, do Canadá, foi notificada que seu aplicativo acessava a área de transferência dos usuários. Num comunicado, a emissora explicou que era parte de uma funcionalidade de diagnóstico que tinha o objetivo de ajudar seus desenvolvedores a solucionarem os problemas dos seus usuários, caso estes solicitassem.

Em fevereiro, antes mesmo da Apple lançar o iOS 14, dois desenvolvedores do iPhone — Tommy Mysk e Talal Haj Bakry — expuseram que empresas copiavam conteúdos das áreas de transferência dos seus usuários. Na época, eles já tinham notado que muitas faziam isso sem o conhecimento dos usuários.

Vantagens para a Apple

apple store china

Toda essa saga de exposição de grandes empresas graças ao novo recurso do iOS 14 acaba sendo benéfica para a Apple porque demonstra como a empresa prioriza a privacidade dos seus usuários. E também porque tem causado mudanças significativas nesse cenário, já que as empresas expostas estão se mobilizando para editar as configurações de programação e parar de acessar e copiar os conteúdos das áreas de transferência.

Outra vantagem para a Apple é que isso ressalta uma grande vantagem do iOS 14 em relação ao Android 10, do Google. Afinal, se essa prática acontece em aplicativos instalados no iOS, acontece nos instalados do Android também. E no que diz respeito à privacidade, as políticas e recursos do Android ficam atrás do iOS.

Isso tudo não deixa de ser, também, uma tática de negócios da Apple. Não é de hoje que a empresa promove seus recursos de privacidade como diferenciais para vender seus aparelhos. Na prática, essa saga de exposição causada pelo novo iOS 14 pode refletir bem nas vendas de iPhones e iPads. Seria um ganho merecido.

Fontes: The Next Web e The Verge

Adicionar Comentário

Clique aqui para postar um comentário

Cancelar resposta