A introdução de lojas alternativas no iOS pela Apple na Europa tem gerado uma série de desafios e preocupações, tanto para a empresa quanto para os usuários.
Em abril, pesquisadores de segurança da Mysk identificaram uma vulnerabilidade significativa envolvendo um novo identificador único criado para facilitar a instalação de aplicativos a partir de lojas alternativas.
Esse identificador, conhecido como client_id, poderia ser explorado para rastrear usuários através da web, levantando sérias questões sobre privacidade e segurança, além de ser contra a própria legislação.
Problema de Privacidade
No iOS 17.4, a Apple implementou um novo esquema URI para permitir que usuários da União Europeia baixassem e instalassem aplicativos de lojas alternativas diretamente de websites.
Esse processo envolvia um navegador autorizado que invocava o esquema URI especial marketplace-kit, que, por sua vez, encaminhava a solicitação de instalação para um processo MarketplaceKit.
Este processo começava a se comunicar com os servidores de back-end da loja alternativa para concluir a instalação do aplicativo.
Durante esse fluxo de instalação, o processo MarketplaceKit enviava um identificador único client_id para o back-end da loja.
A falha residia no fato de que tanto o Safari quanto o processo MarketplaceKit permitiam que qualquer website fizesse uma chamada ao esquema URI marketplace-kit de uma loja específica.
Dessa forma, vários websites poderiam acionar o processo MarketplaceKit para enviar o mesmo identificador único client_id para o back-end da mesma loja, possibilitando que uma loja maliciosa rastreasse usuários em diferentes websites.
Corrigindo o Problema
Após ser alertada pelos pesquisadores Talal Haj Bakry e Tommy Mysk, a Apple abordou esse problema de privacidade no iOS 17.5.
A solução implementada envolveu a geração de um identificador único diferente a cada chamada, eliminando a possibilidade de rastreamento contínuo de usuários por meio do client_id original.
O problema é que essa correção trouxe um novo desafio para os proprietários de lojas alternativas, que agora não conseguem identificar usuários que já baixaram suas lojas.
Impactando as Lojas Alternativas
Um dos exemplos mais notáveis do impacto dessa mudança é a AltStore.
Usuários que desinstalaram a AltStore e tentaram reinstalá-la no iOS 17.5 descobriram que isso era impossível.
A própria AltStore confirmou o problema em sua conta oficial no Xwitter e pediu aos usuários afetados que entrassem em contato por e-mail para buscar uma solução.
Verificações independentes também confirmaram a impossibilidade de reinstalação.
Outra loja alternativa, a Setapp Mobile, também enfrentou dificuldades. A loja, que está em fase beta fechada, informou seus clientes por e-mail que vários aplicativos estavam falhando ao serem lançados.
Enquanto um corretivo não é implementado, a Setapp Mobile sugeriu que os usuários evitassem os travamentos lançando os aplicativos diretamente pela interface da Setapp Mobile.
