Home > Notícias

Apps para iPhone capturam dados pessoais sem permissão de usuários

Descobertas de desenvolvedores fazem fabricantes admitirem práticas e prometerem mudanças. Aplicativo Path já tornou recurso opcional, mas Hipster ainda não.

Macworld / Reino Unido

09/02/2012 às 10h45

Foto:

Um aplicativo para iPhone que alega te ajudar a “compartilhar sua vida com as pessoas que ama” está compartilhando informações demais, um desenvolvedor descobriu.

O software Path é descrito como um “diário inteligente” e pode ser baixado gratuitamente na App Store. No entanto, a versão atual do aplicativo faz upload de todo o conteúdo da sua agenda de contatos e locais que está nos seus servidores, afirma o desenvolvedor de iOS que mora em Cingapura, Arun Thampi. 

Thampi escreveu em seu blog que descobriu o problema por acidente enquanto implementava um aplicativo do Path para Mac OS X como parte de uma maratona hacker (hackathon) normalmente realizada pela Anideo, companhia para a qual trabalha.

“Percebi que minha agenda inteira de contatos (incluindo nomes completos, e-mails e número de telefone) estava sendo enviada como uma lista para o Path”, escreveu. 

“Agora eu não me lembro de ter dado autorização para o Path acessar minha agenda de contatos e enviar seu conteúdo para seus próprios servidores, por isso criei um ‘Path’ completamente novo e repeti a experiência e tive o mesmo resultado – minha agenda de contatos estava nas mãos do Path.” 

Em resposta, o CEO e confudador do Path, Dave Morin, publicou um post no próprio blog da empresa. Apesar de aceitar que as alegações eram verdadeiras, ele disse que não havia nenhuma razão desleal ou secreta para isso e que as futuras versões do app para iOS tornariam esse recurso opcional.

“Na verdade nós pensamos que essa é uma conversa importante e levamos muito a sério. Nós fazemos upload da agenda de contatos como uma forma de ajudar o usuário a encontrar e se conectar com seus amigos e familiares no Path de maneira rápida e eficiente assim como notificá-los quando seus amigos e familiares começam a usar o Path. Nada além disso”, disse Morin, que ainda lembrou que a empresa tornou esse recurso opcional na versão do app para Android há algumas semanas.

pathapp01

No entanto, outras pessoas comentaram no blog e não se mostraram felizes com a situação, apontando que as diretrizes da App Store aparentemente foram violadas com a prática. “Eu diria que as diretrizes 17.1 e 17.2 de aprovação especificamente proíbem o que vocês estão fazendo”, escreveu David Smith, que se descreve como um desenvolvedor independente de iOS. 

Segundo a diretriz 17.1, “os apps não podem transmitir dados sobre um usuário sem obter permissão prévia e fornecer ao usuário acesso as informações sobre como e onde os dados serão armazenados”. Já a 17.2 diz que “apps que exigem que os usuários compartilhem informações pessoais, como endereços de e-mail e data de nascimento, para funcionar serão rejeitados.”

Apesar de não responder diretamente a esse tópico, Morin voltou a dizer que a companhia estava trabalhando em uma atualização (agora disponível na App Store) para mudar isso e oferece até um endereço de e-mail (service@path.com) para os usuários que quiserem que seus dados sejam apagados dos servidores da empesa.

A atualização 2.0.6 do app já está disponível na App Store, aparentemente com as correções prometidas. Nos diga o que achou da nova versão nos comentários abaixo.

Path não está sozinho

Além do Path, o aplicativo Hipster (que te permite compartilhar onde está e o que está fazendo) foi acusado nessa semana de enviar as listas de contatos dos usuários para seus servidores também sem pedir permissão prévia. O autor da descoberta é o desenvolvedor Mark Chang, que acusa o app de enviar os dados sem nem mesmo usar um HTTP seguro. "O app Hipster, em um pedido inseguro HTTP GET, envia uma grande parte da sua agenda de contatos do iPhone na forma de um e-mail que inclui uma lista separada por vírgulas dos seus endereços de e-mail", escreveu Chang em seu blog.

O especialista em segurança da Sophos, Chester Wisniewski, acusou a Apple de ser falha em casos desse tipo. "Onde estava a Apple quando o app original foi lançado? O lento processo de aprovação da sua loja deveria cuidar dos seus clientes, não simplesmente ficar de olho se o app permite tethering ou não", afirmou, em referência ao caso do Path. Wisniewski afirmou ainda que essa prática não quer dizer que as empresas em questão realizaram uso inapropriado dos dados dos usuários, mas lembrou que elas não deveriam fazer isso sem a autorização prévia dos usuários.

Após as acusações, os criadores do Hipster entraram em contato com a nossa redação para comentar o assunto: "Estamos sabendo disso. Os e-mails nunca são salvos e atualizações do app estarão disponíveis o mais rápido possível com informações explícitas e seguras sobre tornar o recurso algo opcional", disse Carl Rice, um dos membros da equipe do aplicativo. Até o fechamento dessa reportagem, o Hipster ainda não tinha recebido uma atualização com as mudanças prometidas.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail