Apple разрешила Uber следить за экраном пользователей iPhone в фоновом режиме

Сервис получил такую возможность в 2015 году, но не говорил об этом пользователям.

Apple на протяжении нескольких лет предоставляет Uber инструмент, позволяющий следить за информацией на экране iPhone даже при закрытом приложении. Об этом пишет ZDNet со ссылкой на исследователя в сфере интернет-безопасности Уилла Страфаха (Wiil Strafach), который первым обратил внимание на ситуацию.

Страфах обнаружил в коде приложения Uber для iOS «право» (entitlement) «com.apple.private.allow-explicit-graphics-priority». Оно позволяет разработчику читать или записывать часть данных с iPhone пользователя, отображаемых на экране, в том числе при закрытом приложении. По словам эксперта, Uber получила такую возможность в 2015 году.

Обнаруженная специалистом функция относится к категории «прав», которые можно использовать только с разрешения Apple, в то время как инструменты для отправки push-уведомлений и доступа к камере или Apple Pay на iPhone и iPad доступны всем разработчикам приложений для iOS. По словам Страфаха, Uber, скорее всего, единственная компания, получившая функцию записи данных с экрана. Специалист проанализировал тысячи приложений из App Store и не нашёл ни одного, у которого были бы подобные возможности.

Неназванный источник Business Insider также сказал, что из 200 лучших бесплатных приложений ни одно не использует подобные инструменты.

Специалист по джейлбрейку приложений для iPhone Лука Тодеско (Luca Todesco) в разговоре с Gizmodo предупредил, что наличие такого «права» делает пользователей потенциально уязвимыми перед мошенниками — в случае взлома Uber хакеры могут получить доступ к информации на экранах iPhone, в том числе к личным данным и вводимым паролям.

Кроме того, указывает Gizmodo, Uber также могла использовать функцию для отслеживания использования их клиентами сервисов конкурентов, например, Lyft.

Официальный представитель Uber объяснил, что компания использовала код для обеспечения стабильной работы приложения на часах Apple Watch, первая модель которых вышла в 2015 году. По его словам, API позволяет в фоновом режиме захватывать карты на смартфоне и передавать их на Apple Watch. Первые модели часов не могли обрабатывать карты самостоятельно, объяснили в компании.

Представитель Uber подчеркнул, что компания не использовала эту функцию ни для каких других целей. Он также сказал, что с обновлением Apple Watch и приложения Uber эта зависимость была устранена, и в ближайшее время компания удалит этот код из своего приложения.

​Почему пользователей не предупреждали о наличии такой функции, представитель Uber не сказал. В Apple не ответили на просьбу ZDNet прокомментировать ситуацию.

Это не первый случай, когда Uber обвиняют в слежке за пассажирами и водителями. Сейчас ФБР проводит расследование использования компанией программы для слежки за водителями конкурентных сервисов, которая называется Hell («Ад»). Весной 2017 года стало известно, что Uber использует приложение Greyball, чтобы скрыть работу сервиса от правоохранительных органов в странах, где к деятельности компании есть претензии.

В апреле 2017 года газета The New York Times писала, что в 2015 году гендиректор Apple Тим Кук лично угрожал бывшему главе Uber Трэвису Каланику удалить приложение сервиса из App Store после того, как выяснилось, что Uber отслеживала iPhone даже после удаления приложения с устройства.

#новость #авто