Categorias

Sem avisar usuário, aplicativo coletava senhas utilizadas

Apple
O aplicativo para iPhone “Big Brother Camera Security” prometia tirar fotos de quem estivesse usando o app sem a permissão do dono do aparelho e, durante a configuração, pedia uma senha de quatro dígitos – semelhante à senha usada para a tela de bloqueio do telefone. Quando a senha era configurada, o número era enviado ao autor, o americano (e filho de brasileiros) Daniel Amitay.

O objetivo do autor era criar um gráfico estatístico das senhas mais comuns. A a pesquisa foi divulgada, revelando que “1234” e “0000” são as senhas mais comuns. Os dados vêm apenas das senhas do próprio app – nenhuma outra senha é capturada.

Mesmo assim, a Apple removeu o software da App Store depois que o autor revelou a captura dos dados.

Para o desenvolvedor do app, a remoção do app não foi justa. “A licença de software padrão usada pela Apple, que todos os usuários de iPhone devem aceitar para usar o app, cobre o envio de dados anônimos do aparelho para um servidor de terceiros”, diz Amitay. “Os dados são do meu próprio app, e a transferência é realmente apenas o código. Nenhum endereço IP, nome ou informação do aparelho. Apenas os quatro dígitos“.

A Apple foi procurada para comentar o caso, mas não enviou uma resposta até a publicação da reportagem.

Amitay ainda revela que não usou uma criptografia para o envio dos dados, e sim uma “codificação” que torna os dados “ambíguos”. “Usar criptografia nos apps do iPhone é burocrático devido a leis internacionais e necessita de autorização adicional”, conta.

Mesmo assim, ele não acredita que seu app é um spyware, porque dados pessoais não foram transmitidos junto das senhas.

“Esse é um assunto complicado. Tanto o meu app como os apps de outros, e a própria tela de bloqueio do iPhone, têm falhas que um indivíduo realmente dedicado pode tirar proveito. Meu artigo apenas mostrou que indivíduos sem tanta dedicação poderiam simplesmente adivinhar a senha de um usuário e isso não é bom”, revela Amitay.

O app foi reenviado para o App Store, sem o código que transmite as senhas escolhidas, mas ainda não foi novamente listado.

Com informações de G1.