Jefferson, 
23 de abril de 2012, 
Não adianta você se limitar a instalar no seu smartphone apenas apps populares, já testadas por muita gente e há muito tempo. A Path parecia ser uma app inocente o bastante, com mais de 24 mil avaliações, até um programador descobrir que a app copiava todo o catálogo de endereços do iPhone para os servidores da Path (detalhes técnicos no blog do programador). E o pior foi a resposta do CEO da Path, dizendo que isso era uma “industry best practice”.
Imagine só o que essas empresas andam fazendo. Ao dar acesso aos seus contatos de e-mail você geralmente só está dando e-mail e nome de todos eles. E isso já é ruim o bastante. Já no smartphone as chances são grandes de que existam além de todos os telefones, e-mail, endereço, aniversário, apelido, empresa onde trabalha e notas diversas sobre cada pessoa.
Ainda que não haja maldade nessa atitude (é ruim…), é preciso lembrar da lambança do QUIPTXT (por sinal, outra app para iPhone). Será que o catálogo de endereços de mais de 24 mil pessoas (e estou falando apenas de quem avaliou a app) está seguro nos servidores da Path? Ou qualquer funcionário da empresa ou hacker meia-boca tinha (o dono da empresa jura que apagou tudo) tem acesso a ele? Quantas estórias não já ouvimos sobre empresas que supostamente sabiam o que estavam fazendo mas deixaram vazar os números de cartão de crédito de todos os seus clientes?
Depois de ler praticamente todos os comentários no blog do programador, fiquei ainda mais preocupado. Primeiro, um dos comentários diz que no iOS todas as apps tem acesso aos contatos e à internet
Segundo, vários programadores respondem defendendo a Path e sugerindo que não vêem nenhum mal no ocorrido.
O CEO da Path afirma que isso era feito para que fosse possível avisar ao usuário, por meio de comparação de e-mails, quando os amigos do usuário passassem a usar a app também. Mais ou menos como acontece no Facebook. Mas outros comentários apontam diversos problemas nisso:
1)Nem todo mundo que está no meu catálogo de endereços é meu “amigo”. Pelo contrário: existem contatos que eu definitivamente quero evitar, passando pelos contatos estritamente comerciais
2)A Path poderia ter obtido o mesmo resultado fazendo um hash local de cada um dos e-mails do catálogo e enviando para seus servidores apenas o hash. Isso permitiria a comparação mesmo obfuscando os endereços. Porém não resolve “1”.
3)Para quê mandar o catálogo de endereços completo (nome, telefones, aniversário, notas) se você só precisa dos endereços de e-mail? Nem mesmo o nome da pessoa é necessário. Na verdade, do ponto de vista técnico, é contraproducente, já que uma mesma pessoa, com um mesmo e-mail, pode aparecer com nomes grafados de maneiras inteiramente diferentes em cada catálogo.
Inspirado pela descoberta, outro programador descobriu “falha” semelhante em uma app chamada Hipster.
E em 2008 outra app fez o mesmo e foi apagada da app store. Segundo palavras do próprio desenvolvedor, quando eles viram que o SDK da Apple permitia que eles fizessem isso ele pensou: “por que não? Vai ser ótimo para os usuários!”
Eles deveriam tomar um processo bem caro na caixa dos peitos de todos os 25 mil usuários do APP para ver como é que é bom, e para nunca mais se meter a besta.
A julgar pelos comentários no blog do programador, incluindo os de dois supostos advogados, nem é necessário. O que a Path fez já viola leis de privacidade (incluindo leis específicas sobre dados de crianças), da Comunidade Européia e dos Estados Unidos. E como saiu um artigo sobre isso no The New York Times, espera-se que a Path já esteja encrencada.
E não são apenas 25 mil. Não vi estimativa de downloads no iTunes, mas o número de usuários reais costuma ser bem maior que o de avaliações.
Até o Dilbert esta comentando sobre os apps “xeretas” http://www.dilbert.com/2012-05-03/