O iFood estava burlando a privacidade de localização do iPhone?.

Atualização (11/2): A Apple emitiu um posicionamento ao AppleInsider negando que a falha mencionada abaixo tenha sido explorada e que o iFood tenha burlado os controles de privacidade do iOS.

O leitor Guilherme Teixeira notou algo estranho em seu iPhone no início de janeiro: o aplicativo do iFood estava acessando a localização do aparelho sem ter permissão para tal.

Quando Guilherme compartilhou essa curiosidade no nosso grupo do Telegram (para apoiadores), ficamos intrigados. Outro leitor respondeu: “iFood passando a perna na Apple.” Parece loucura. Mas… será?

Dois prints do iOS mostrando o aplicativo do iFood acessando a localização do aparelho mesmo sem permissão para tal.
Imagens: Guilherme Teixeira/Reprodução.

É uma hipótese reforçada pelas notas de lançamento do iOS 16.3, liberado pela Apple no dia 23 de janeiro. Entre outras, ela lista a falha CVE-2023-23503, submetida por um pesquisador anônimo, que permitia que um aplicativo conseguisse “ignorar as preferências de privacidade [do Maps]”.

A falha está em modo “reservado” no banco de dados do sistema CVE, ou seja, os detalhes ainda não foram publicados.

Guilherme disse que, depois que reiniciou o iPhone, o aplicativo do iFood voltou ao normal, ou seja, antes do iOS 16.3 ser disponibilizado.

Pode ter sido outra coisa? Uma falha pontual? Um erro de exibição do iOS? Pode. Mas que é uma estranha coincidência, isso é.

O Manual do Usuário entrou em contato com a assessoria de imprensa do iFood pedindo um posicionamento. Eles receberam a demanda, pediram mais detalhes e mais prazo, que foi concedido, mas o posicionamento ainda não havia chegado até a publicação desta nota. O post será atualizado assim que ele chegar.

Atualização (1/2, às 17h30): Segue o posicionamento do iFood na íntegra:

O iFood reforça que a segurança de dados é prioridade em seu negócio e na relação com os consumidores, entregadores e restaurantes. Os dados coletados são utilizados apenas para as finalidades previstas em nossa Declaração de Privacidade.

Neste caso, após análise minuciosa pela equipe de tecnologia, não foi identificado nenhum código no aplicativo iFood que permite o acesso a localização do usuário sem autorização, mas ainda assim, a empresa permanece à disposição para esclarecer qualquer dúvida referente ao assunto ou qualquer suposta falha, de modo a contribuir para trazer mais segurança à plataforma.

Presente em mais de 1700 cidades no Brasil e referência em delivery online, o iFood realiza investimentos constantes em segurança, tecnologia e monitoramento para identificação e correção de possíveis falhas e melhoria contínua do aplicativo.

31/1/23, 17h12

Newsletter

O Manual no seu e-mail. Três edições por semana — terça, sexta e sábado. Grátis. Cancele quando quiser.

Acompanhe

Deixe um comentário

É possível formatar o texto do comentário com HTML ou Markdown. Seu e-mail não será exposto. Antes de comentar, leia isto.