Apple omitiu vulnerabilidade que afetou 128 milhões de iPhones
O caso ocorrido em 2015 foi descoberto em emails anexados no processo movido pela Epic Games
André Lopes
Publicado em 11 de maio de 2021 às 12h52.
Última atualização em 11 de maio de 2021 às 13h26.
A Apple tem como mote promover que a garantia de privacidade em seus dispositivos é um diferencial frente aos concorrentes—diga-se smartphones que rodam Android. No entanto, em setembro de 2015, executivos da Apple tinha um dilema em mãos: deveriam ou não notificar 128 milhões de usuários do iPhone sobre a maior vulnerabilidade do iOS já registrada?
Como a história conta, eles negligenciaram a questão. Mas, para entender o que estava em jogo, eis o que ocorreu: na época, pesquisadores descobriram 40 aplicativos maliciosos na App Store, a loja de aplicativos do iPhone e iPad. Em uma análise mais profunda, esse número chegou em 4 000. Aferiu-se então que os aplicativos continham códigos que tornavam os dispositivos parte de uma grande rede que roubava informações confidenciais do usuário.
Mas, segundo emails que foram anexados pela empresa em sua defesa no processo pleiteado pela Epic Games, e que foram analisados pelos sites Wired e Ars Technica, na tarde de 21 de setembro de 2015, os gerentes da Apple souberam que os aplicativos maliciosos foram baixados num total de 203 milhões de vezes e por 128 milhões de usuários do mundo todo e fizeram pouco caso.
"Devido ao grande número de clientes potencialmente afetados, queremos enviar um e-mail para todos eles?” escreveu o vice-presidente da App Store, Matthew Fischer, para o presidente sênior de marketing mundial da Apple, Greg Joswiak, e ao pessoal de relações públicas da Apple, Tom Neumayr e Christine Monaghan.
No email, o executivo demonstrou preocupações com a localização de idioma do aviso, e citou o Brasil como exemplo: "Não gostaríamos de enviar um e-mail em inglês para um cliente que baixou um ou mais desses aplicativos da App Store brasileira, onde o português seria o idioma mais apropriado".
Cerca de 10 horas depois, Dale Bagwell do setor de experiência do cliente retorna um email sobre a logística de notificar todos os 128 milhões de usuários afetados, localizar notificações para o idioma de cada usuário e "incluir com precisão os nomes dos aplicativos para cada cliente". No entanto, o plano nunca foi posto em prática. A única coisa que a empresa fez foi listar, por meio de um post no site da companhia, que os 25 apps mais baixados entre os maliciosos deveriam ser atualizados.
Segundo o que foi levantado na época pela Apple, a vulnerabilidade foi causada por desenvolvedores que usaram uma cópia pirata do software Xcode, a ferramenta de programação da Apple. A versão vinda do mercado negro apelidada de XcodeGhost inseriu um código malicioso ao lado de funções normais dos aplicativos. A partir daí, os apps fizeram com que os iPhones enviassem dados do aparelho para um servidor localizado supostamente na China.
"Algumas coisas não devem ser compartilhadas. O iPhone ajuda a mantê-lo assim", anunciava a Apple em um comercial de 2020. Parece que nem sempre é assim.
Quer saber mais novidades do gigantesco mercado dos smartphones?Assine a EXAME.