E-mail рассылка

Вчера
11.12.2017
10.12.2017
09.12.2017
07.10.2017, 12:43 439

Сервис получил такую возможность в 2015 году, но не говорил об этом пользователям

Apple на протяжении нескольких лет предоставляет Uber инструмент, позволяющий следить за информацией на экране iPhone даже при закрытом приложении. Об этом рассказал исследователь в сфере интернет-безопасности Уилл Страфах, который первым обратил внимание на ситуацию.

Страфах обнаружил в коде приложения Uber для iOS «право» (entitlement) «com.apple.private.allow-explicit-graphics-priority». Оно позволяет разработчику читать или записывать часть данных с iPhone пользователя, отображаемых на экране, в том числе при закрытом приложении. По словам эксперта, Uber получила такую возможность в 2015 году.

Обнаруженная специалистом функция относится к категории «прав», которые можно использовать только с разрешения Apple, в то время как инструменты для отправки push-уведомлений и доступа к камере или Apple Pay на iPhone и iPad доступны всем разработчикам приложений для iOS. По словам Страфаха, Uber, скорее всего, единственная компания, получившая функцию записи данных с экрана. Специалист проанализировал тысячи приложений из App Store и не нашёл ни одного, у которого были бы подобные возможности.

Неназванный источник также сказал, что из 200 лучших бесплатных приложений ни одно не использует подобные инструменты.

Специалист по джейлбрейку приложений для iPhone Лука Тодеско (Luca Todesco) в разговоре с Gizmodo предупредил, что наличие такого «права» делает пользователей потенциально уязвимыми перед мошенниками — в случае взлома Uber хакеры могут получить доступ к информации на экранах iPhone, в том числе к личным данным и вводимым паролям.

Кроме того, Uber также могла использовать функцию для отслеживания использования их клиентами сервисов конкурентов, например, Lyft.

Официальный представитель Uber объяснил, что компания использовала код для обеспечения стабильной работы приложения на часах Apple Watch, первая модель которых вышла в 2015 году. По его словам, API позволяет в фоновом режиме захватывать карты на смартфоне и передавать их на Apple Watch. Первые модели часов не могли обрабатывать карты самостоятельно, объяснили в компании.

Представитель Uber подчеркнул, что компания не использовала эту функцию ни для каких других целей. Он также сказал, что с обновлением Apple Watch и приложения Uber эта зависимость была устранена, и в ближайшее время компания удалит этот код из своего приложения.

​Почему пользователей не предупреждали о наличии такой функции, представитель Uber не сказал. В Apple не ответили на просьбу ZDNet прокомментировать ситуацию.

Это не первый случай, когда Uber обвиняют в слежке за пассажирами и водителями. Сейчас ФБР проводит расследование использования компанией программы для слежки за водителями конкурентных сервисов, которая называется Hell («Ад»). Весной 2017 года стало известно, что Uber использует приложение Greyball, чтобы скрыть работу сервиса от правоохранительных органов в странах, где к деятельности компании есть претензии.

Информация предоставлена по материалам Independent

Комментарии