Независимый ИБ-исследователь Уилл Страфах (Will Strafach) обнаружил, что компания Apple фактически выдала официальному приложению Uber право шпионить за пользователями.
I wonder why Uber (appears to?) have this entitlement. new option in dev portal somewhere? https://t.co/VbknpQTlxV
— Will Strafach (@chronic) October 3, 2017
Страфах провел собственное исследование и выяснил, что приложение Uber, единственное из множества приложений в App Store, каким-то образом получило от компании Apple специальное право (entitlement), позволяющее ему фиксировать все, что происходит на экране устройства. Данное право известно как com.apple.private.allow-explicit-graphics-priority, и оно позволяет приложению получать доступ к фреймбуферу гаджета, даже когда само приложение свернуто. И если запись в фреймбуфер – это обычное дело, то чтение оттуда – не совсем, ведь таким образом приложение получает доступ практически к любым личным данным пользователя.
Другие специалисты и разработчики уже назвали находку Страфаха «беспрецедентной», сравнив com.apple.private.allow-explicit-graphics-priority с включением кейлоггера на устройстве. Конечно, существуют приложения, которые умеют записывать происходящее на экране (к примеру, iRec), и они эксплуатируют то же право, однако это происходит на устройствах с джейлбрейком, и никак не с официального разрешения Apple.
Разработчики Uber поспешили прокомментировать ситуацию, тогда как представители Apple по-прежнему хранят молчание. Так, в Uber заявили, что данное право было предоставлено компании для улучшения работы приложения с Apple Watch, якобы ранее «умные» часы не могли корректно рендерить карты. Сообщается, что в настоящее время, после обновлений Apple Watch и приложения Uber, эта функциональность более не требуется и вскоре будет удалена.
API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It's not in use & being removed. Thx!
— Melanie Ensign (@iMeluny) October 5, 2017
Страфах отмечает, что учитывая не слишком чистую репутацию Uber, совершенно неясно, каким именно образом компания вынудила Apple предоставить ей такое спорное эксклюзивное право в принципе. Напомню, что ранее разработчиков Uber уличали в слежке за пользователями даже после завершения поездки; в отслеживании уровня заряда аккумулятора устройства (пользователь с почти разряженным смартфоном охотно заплатит за поездку больше); а также в использовании специального инструмента Greyball, который позволял «обманывать» представителей правоохранительных органов и властей. По сути, Greyball маскирует деятельность Uber в запрещенных регионах.
«Похоже [в Apple], к ним относятся по-особенному, просто они не желают признавать это открыто», — резюмирует исследователь.