Независимый ИБ-исследователь Уилл Страфах (Will Strafach) обнаружил, что компания Apple фактически выдала официальному приложению Uber право шпионить за пользователями.

Страфах провел собственное исследование и выяснил, что приложение Uber, единственное из множества приложений в App Store, каким-то образом получило от компании Apple специальное право (entitlement), позволяющее ему фиксировать все, что происходит на экране устройства. Данное право известно как com.apple.private.allow-explicit-graphics-priority, и оно позволяет приложению получать доступ к фреймбуферу гаджета, даже когда само приложение свернуто. И если запись в фреймбуфер – это обычное дело, то чтение оттуда – не совсем, ведь таким образом приложение получает доступ практически к любым личным данным пользователя.

Другие специалисты и разработчики уже назвали находку Страфаха «беспрецедентной», сравнив com.apple.private.allow-explicit-graphics-priority с включением кейлоггера на устройстве. Конечно, существуют приложения, которые умеют записывать происходящее на экране (к примеру, iRec), и они эксплуатируют то же право, однако это происходит на устройствах с джейлбрейком, и никак не с официального разрешения Apple.

Разработчики Uber поспешили прокомментировать ситуацию, тогда как представители Apple по-прежнему хранят молчание. Так, в Uber заявили, что данное право было предоставлено компании для улучшения работы приложения с Apple Watch, якобы ранее «умные» часы не могли корректно рендерить карты. Сообщается, что в настоящее время, после обновлений Apple Watch и приложения Uber, эта функциональность более не требуется и вскоре будет удалена.

Страфах отмечает, что учитывая не слишком чистую репутацию Uber, совершенно неясно, каким именно образом компания вынудила Apple предоставить ей такое спорное эксклюзивное право в принципе. Напомню, что ранее разработчиков Uber уличали в слежке за пользователями даже после завершения поездки; в отслеживании уровня заряда аккумулятора устройства (пользователь с почти разряженным смартфоном охотно заплатит за поездку больше); а также в использовании специального инструмента Greyball, который позволял «обманывать» представителей правоохранительных органов и властей. По сути, Greyball маскирует деятельность Uber в запрещенных регионах.

«Похоже [в Apple], к ним относятся по-особенному, просто они не желают признавать это открыто», — резюмирует исследователь.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии