O New York Times divulgou nesta semana que aplicativos com acesso à localização de usuários do iPhone e iPad podem acessar, copiar e roubar sua biblioteca inteira de fotos sem eles saberem. O problema também está presente no Android, e de uma forma mais ampla: qualquer app pode acessar fotos sem avisar, mesmo que ele exija zero permissões para ser instalado. De acordo com o jornal, quando um app no iOS pergunta se pode acessar a localização do usuário, ele também ganha acesso às fotos no iPhone ou iPad – mesmo que o app nunca avise que pode ver as fotos. Se o app for malicioso, ele ainda pode enviá-las para um servidor.
O NYT diz que essa falha é conhecida há muito tempo, mas “não está claro” se ela já foi usada. Um app assim não poderia entrar na App Store porque viola as diretrizes da Apple, que o testaria e notaria o comportamento estranho. Mas, se viu no caso Path – que não avisava que podia ver e enviar seus contatos – a Apple nem sempre filtra bem os apps.
No Android, por sua vez, qualquer app pode acessar as fotos. Antes de instalar um app no Android, seja no Market ou não, é preciso aceitar as permissões exigidas pelo app. No entanto, mesmo apps com zero permissões conseguem ver as fotos do usuário. E, se o app tiver permissão de acessar a Internet, ele pode facilmente copiar as fotos e enviá-las a um servidor remoto, sem o usuário ficar sabendo. Novamente, não está claro quais apps fazem isso.
O Google confirmou o problema, dizendo que essa é uma escolha de design, e não um descuido – mas disse que vai levar em consideração se conserta isso. Na verdade, esse parece ser um problema de retrocompatibilidade, uma decisão tendo em mente como os primeiros celulares com Android salvavam e compartilhavam dados.
