O escândalo “Locationgate” já é coisa do passado, felizmente… hora de um novo escândalo: o “UDIDgate”! Em abril, o especialista em segurança Aldo Cortesi identificou um tipo de tráfego nada saudável ocorrendo entre iGadgets e servidores da popular rede de jogos OpenFeint: apps estariam usando UDIDs (Unique Device Identifiers, algo como um número de série eletrônico; veja esta dica pra saber o do seu gadget) para conectar gadgets à identidade de usuários, um tipo de prática altamente controverso e proibido pela Apple, tanto que já gerou alguns bafafás com relação a privacidade [1, 2].
Piora: bastava usar uma URL contendo o código identificador do aparelho para coletar a imagem do usuário no Facebook (hoje em dia, praticamente sua foto numa carteira de identidade digital), o último app usado e até a localização geográfica em latitude e longitude. Tudo isso em um navegador qualquer.
Hora de entrar em pânico? Não, mas também não é pra baixar totalmente a guarda: a OpenFeint foi advertida do caso e, antes de ser adquirida pela GREE, corrigiu todas as falhas de segurança que permitiam que essas informações fossem recuperadas abertamente (mas não necessariamente essa associação de UDIDs e identidades deixou de ser feita), só que resta a dúvida quanto aos milhares de outros apps à venda. Se a Apple deixou os aplicativos integrados à OpenFeint passarem sem problemas pelo processo de aprovação, quem garante que a privacidade dos usuários está segura em outros apps?
Algumas pessoas podem achar que o uso de UDIDs em apps é inerentemente maléfico e prejudicial à privacidade dos usuários, mas a utilidade deles como “super cookies” talvez seja difícil de replicar de outras formas. Pensando de forma pragmática, uma possibilidade seria a Apple implementar maneiras alternativas de um desenvolvedor ter acesso a essa informação, mas sem sair do escopo de seu app. Charlie Miller, um especialista em segurança de smartphones, comentou com a WIRED uma solução relativamente simples: em vez de usar uma API que dê o UDID numa badeja de prata, cada app poderia gerar um identificador único, de forma que nenhum desenvolvedor pudesse ir além do que diz respeito a seu aplicativo.
Ou talvez devamos nos acostumar com o fim da privacidade. 🙁
[via Cult of Mac]
