0 Compartilhamentos 576 Views

Aplicativo do Uber para iOS é capaz de registrar o que é exibido na tela

6 de outubro de 2017

O pesquisador de segurança Will Strafach detectou uma surpresa no aplicativo do Uber par iOS: a capacidade de registrar tudo que é exibido na tela através de uma funcionalidade não documentada pela Apple.

A gigante do iPhone e do iPad teria concedido ao aplicativo de transporte urbano um privilégio de acesso jamais concedido antes a produto de terceiros e que abriria um perigoso vetor para brechas de segurança.

A funcionalidade com.apple.private.allow-explicit-graphics-priority permite que desenvolvedores tanto escrevam quanto leiam as informações do framebuffer, um setor da memória do dispositivo que guarda dados dos pixels de exibição da tela. Embora esse tipo de acesso garanta que aplicativos sempre consigam escrever no framebuffer para gerar a renderização, é extremamente raro que eles tenham também permissão de leitura.

Na prática, isso significa que o aplicativo do Uber seria, em teoria, capaz de capturar o que é exibido na tela a qualquer momento, mesmo com o aplicativo fechado. De acordo com desenvolvedores que trabalham com o ecossistema da Apple, o Uber foi o único a obter esse tipo de privilégio. Para especialistas de segurança, isso tornaria o aplicativo um alvo para cibercriminosos, interessados em assumir o controle e herdar suas permissões sem o conhecimento do usuário.

A Apple não se manifestou sobre os motivos que levaram a empresa a conceder esse tipo de privilégio para o Uber, principalmente depois dos atritos que aconteceram no passado entre as duas empresas.

De acordo com o Uber, a funcionalidade nunca foi utilizada. Ela faria parte de uma integração entre o aplicativo e o Apple Watch e serviria para renderizar mapas em segundo plano no smartphone que depois seriam enviados para o relógio inteligente. O recurso foi removido do Apple Watch, mas parte do código permaneceu no aplicativo para iOS. O Uber avisou que a API será removida imediatamente em uma próxima atualização do aplicativo.

Carregando...

Você pode se interessar

Por que eu decidi não migrar para o Windows 11 agora
Artigos
100 visualizações
Artigos
100 visualizações

Por que eu decidi não migrar para o Windows 11 agora

Carlos L. A. da Silva - 19 de outubro de 2021

O novo sistema operacional da Microsoft está entre nós, mas talvez não seja uma boa ideia pular de cabeça.

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)
Artigos
231 visualizações
Artigos
231 visualizações

Enumerando e analisando mais de 40 implementações de JavaScript (que não são V8)

Carlos L. A. da Silva - 6 de outubro de 2021

V8 é o interpretador JavaScript, também chamado de máquina virtual Javascript, desenvolvido pela Google e utilizado em seu navegador Google Chrome. Com o peso de seus criadores e a quase onipresença do navegador, foi apenas uma questão de tempo para essa implementação do JavaScritp se tornar dominante no mercado. Entretanto, um bom desenvolvedor sabe que […]

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
413 visualizações
Artigos
413 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

Deixe um Comentário

Your email address will not be published.

Mais publicações

A cibersegurança por trás das vacinas
Artigos
510 visualizações
510 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021
Top 25 comandos do Git
Artigos
651 visualizações
651 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021
Dez anos de Kotlin: origens e futuro
Artigos
703 visualizações
703 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021