Следующая новость
Предыдущая новость

Приложение Uber может скрыто фиксировать все происходящее на экране iPhone

09.10.2017 21:57

Независимый ИБ-исследователь Уилл Страфах (Will Strafach) обнаружил, что компания Apple фактически выдала официальному приложению Uber право шпионить за пользователями.

I wonder why Uber (appears to?) have this entitlement. new option in dev portal somewhere? https://t.co/VbknpQTlxV

— Will Strafach (@chronic) October 3, 2017

Страфах провел собственное исследование и выяснил, что приложение Uber, единственное из множества приложений в App Store, каким-то образом получило от компании Apple специальное право (entitlement), позволяющее ему фиксировать все, что происходит на экране устройства. Данное право известно как com.apple.private.allow-explicit-graphics-priority, и оно позволяет приложению получать доступ к фреймбуферу гаджета, даже когда само приложение свернуто. И если запись в фреймбуфер – это обычное дело, то чтение оттуда – не совсем, ведь таким образом приложение получает доступ практически к любым личным данным пользователя.

Другие специалисты и разработчики уже назвали находку Страфаха «беспрецедентной», сравнив com.apple.private.allow-explicit-graphics-priority с включением кейлоггера на устройстве. Конечно, существуют приложения, которые умеют записывать происходящее на экране (к примеру, iRec), и они эксплуатируют то же право, однако это происходит на устройствах с джейлбрейком, и никак не с официального разрешения Apple.

Разработчики Uber поспешили прокомментировать ситуацию, тогда как представители Apple по-прежнему хранят молчание. Так, в Uber заявили, что данное право было предоставлено компании для улучшения работы приложения с Apple Watch, якобы ранее «умные» часы не могли корректно рендерить карты. Сообщается, что в настоящее время, после обновлений Apple Watch и приложения Uber, эта функциональность более не требуется и вскоре будет удалена.

API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It's not in use & being removed. Thx!

— Melanie Ensign (@iMeluny) October 5, 2017

Страфах отмечает, что учитывая не слишком чистую репутацию Uber, совершенно неясно, каким именно образом компания вынудила Apple предоставить ей такое спорное эксклюзивное право в принципе. Напомню, что ранее разработчиков Uber уличали в слежке за пользователями даже после завершения поездки; в отслеживании уровня заряда аккумулятора устройства (пользователь с почти разряженным смартфоном охотно заплатит за поездку больше); а также в использовании специального инструмента Greyball, который позволял «обманывать» представителей правоохранительных органов и властей. По сути, Greyball маскирует деятельность Uber в запрещенных регионах.

«Похоже [в Apple], к ним относятся по-особенному, просто они не желают признавать это открыто», — резюмирует исследователь.

Источник

Последние новости