Apple разрешила Uber следить за экраном пользователей iPhone в фоновом режиме

Сервис получил такую возможность в 2015 году, но не говорил об этом пользователям.

Apple на протяжении нескольких лет предоставляет Uber инструмент, позволяющий следить за информацией на экране iPhone даже при закрытом приложении. Об этом пишет ZDNet со ссылкой на исследователя в сфере интернет-безопасности Уилла Страфаха (Wiil Strafach), который первым обратил внимание на ситуацию.

Страфах обнаружил в коде приложения Uber для iOS «право» (entitlement) «com.apple.private.allow-explicit-graphics-priority». Оно позволяет разработчику читать или записывать часть данных с iPhone пользователя, отображаемых на экране, в том числе при закрытом приложении. По словам эксперта, Uber получила такую возможность в 2015 году.

Обнаруженная специалистом функция относится к категории «прав», которые можно использовать только с разрешения Apple, в то время как инструменты для отправки push-уведомлений и доступа к камере или Apple Pay на iPhone и iPad доступны всем разработчикам приложений для iOS. По словам Страфаха, Uber, скорее всего, единственная компания, получившая функцию записи данных с экрана. Специалист проанализировал тысячи приложений из App Store и не нашёл ни одного, у которого были бы подобные возможности.

Неназванный источник Business Insider также сказал, что из 200 лучших бесплатных приложений ни одно не использует подобные инструменты.

Специалист по джейлбрейку приложений для iPhone Лука Тодеско (Luca Todesco) в разговоре с Gizmodo предупредил, что наличие такого «права» делает пользователей потенциально уязвимыми перед мошенниками — в случае взлома Uber хакеры могут получить доступ к информации на экранах iPhone, в том числе к личным данным и вводимым паролям.

Кроме того, указывает Gizmodo, Uber также могла использовать функцию для отслеживания использования их клиентами сервисов конкурентов, например, Lyft.

Официальный представитель Uber объяснил, что компания использовала код для обеспечения стабильной работы приложения на часах Apple Watch, первая модель которых вышла в 2015 году. По его словам, API позволяет в фоновом режиме захватывать карты на смартфоне и передавать их на Apple Watch. Первые модели часов не могли обрабатывать карты самостоятельно, объяснили в компании.

Представитель Uber подчеркнул, что компания не использовала эту функцию ни для каких других целей. Он также сказал, что с обновлением Apple Watch и приложения Uber эта зависимость была устранена, и в ближайшее время компания удалит этот код из своего приложения.

​Почему пользователей не предупреждали о наличии такой функции, представитель Uber не сказал. В Apple не ответили на просьбу ZDNet прокомментировать ситуацию.

Это не первый случай, когда Uber обвиняют в слежке за пассажирами и водителями. Сейчас ФБР проводит расследование использования компанией программы для слежки за водителями конкурентных сервисов, которая называется Hell («Ад»). Весной 2017 года стало известно, что Uber использует приложение Greyball, чтобы скрыть работу сервиса от правоохранительных органов в странах, где к деятельности компании есть претензии.

В апреле 2017 года газета The New York Times писала, что в 2015 году гендиректор Apple Тим Кук лично угрожал бывшему главе Uber Трэвису Каланику удалить приложение сервиса из App Store после того, как выяснилось, что Uber отслеживала iPhone даже после удаления приложения с устройства.

1818
36 комментариев

Во-первых не следила, а была такая возможность, во вторых с технической точки зрения это практически невозможно. В iOS приложения живут «в фоне» от силы 3-5 минут, после чего система их убивает. Чтобы этого не произошло, приложение должно запросить у пользователя специальные разрешения, например на геолокацию. Однако, если приложение будет постоянно «жить» в фоне, оно съест всю батарейку. У iOS приложения Uber никогда не было проблем с батарейкой, отсюда можно сделать вывод, что вся эта история - выдумка, как минимум с точки зрения возможностей технической реализации.

Более того, сама Apple пока так и не высказалась по этому поводу. С другой стороны, с точки зрения developer коммьюнити iOS разработчиков, могу сказать, что это неслыханно, когда компания даёт преференции одному приложению над другими. Мне кажется, что это точно не единственный случай, в будущем мы услышим ещё несколько похожих историй.

10
Ответить

с точки зрения developer коммьюнити iOS разработчиков

думаю эта фраза на чистом русском выглядит немного иначе (и короче)

11
Ответить

В iOS приложения живут «в фоне» от силы 3-5 минут, после чего система их убивает. Чтобы этого не произошло, приложение должно запросить у пользователя специальные разрешения, например на геолокациюТо что вы пишете справедливо для обычных приложений. С private API всё вероятно иначе - как вариант, видя этот флаг (com.apple.private.allow-explicit-graphics-priority) менеджер процессов не убивает приложение.
Уберу они уже поблажки делали, так что ничего удивительного: https://vc.ru/23408-cook-vs-kalanick . Приложения рядового разработчика в случае таких махинаций удалили бы без суда и следствия.

5
Ответить

У меня на айфоне YouTube работало тайно в фоне часов 10. Сожрало 52% аккумулятора. Не понимаю, что оно делало.

Ответить

У Убер точно был апдейт после которого приложение просило постоянный доступ к геолокации.

1
Ответить

Очень напрягает, когда понимаешь, что на xvideos смотришь видосик не только ты, но и все водители города.

4
Ответить