Apple разрешила Uber следить за экраном пользователей iPhone в фоновом режиме Статьи редакции
Сервис получил такую возможность в 2015 году, но не говорил об этом пользователям.
Apple на протяжении нескольких лет предоставляет Uber инструмент, позволяющий следить за информацией на экране iPhone даже при закрытом приложении. Об этом пишет ZDNet со ссылкой на исследователя в сфере интернет-безопасности Уилла Страфаха (Wiil Strafach), который первым обратил внимание на ситуацию.
Страфах обнаружил в коде приложения Uber для iOS «право» (entitlement) «com.apple.private.allow-explicit-graphics-priority». Оно позволяет разработчику читать или записывать часть данных с iPhone пользователя, отображаемых на экране, в том числе при закрытом приложении. По словам эксперта, Uber получила такую возможность в 2015 году.
Обнаруженная специалистом функция относится к категории «прав», которые можно использовать только с разрешения Apple, в то время как инструменты для отправки push-уведомлений и доступа к камере или Apple Pay на iPhone и iPad доступны всем разработчикам приложений для iOS. По словам Страфаха, Uber, скорее всего, единственная компания, получившая функцию записи данных с экрана. Специалист проанализировал тысячи приложений из App Store и не нашёл ни одного, у которого были бы подобные возможности.
Неназванный источник Business Insider также сказал, что из 200 лучших бесплатных приложений ни одно не использует подобные инструменты.
Специалист по джейлбрейку приложений для iPhone Лука Тодеско (Luca Todesco) в разговоре с Gizmodo предупредил, что наличие такого «права» делает пользователей потенциально уязвимыми перед мошенниками — в случае взлома Uber хакеры могут получить доступ к информации на экранах iPhone, в том числе к личным данным и вводимым паролям.
Кроме того, указывает Gizmodo, Uber также могла использовать функцию для отслеживания использования их клиентами сервисов конкурентов, например, Lyft.
Официальный представитель Uber объяснил, что компания использовала код для обеспечения стабильной работы приложения на часах Apple Watch, первая модель которых вышла в 2015 году. По его словам, API позволяет в фоновом режиме захватывать карты на смартфоне и передавать их на Apple Watch. Первые модели часов не могли обрабатывать карты самостоятельно, объяснили в компании.
Представитель Uber подчеркнул, что компания не использовала эту функцию ни для каких других целей. Он также сказал, что с обновлением Apple Watch и приложения Uber эта зависимость была устранена, и в ближайшее время компания удалит этот код из своего приложения.
Почему пользователей не предупреждали о наличии такой функции, представитель Uber не сказал. В Apple не ответили на просьбу ZDNet прокомментировать ситуацию.
Это не первый случай, когда Uber обвиняют в слежке за пассажирами и водителями. Сейчас ФБР проводит расследование использования компанией программы для слежки за водителями конкурентных сервисов, которая называется Hell («Ад»). Весной 2017 года стало известно, что Uber использует приложение Greyball, чтобы скрыть работу сервиса от правоохранительных органов в странах, где к деятельности компании есть претензии.
В апреле 2017 года газета The New York Times писала, что в 2015 году гендиректор Apple Тим Кук лично угрожал бывшему главе Uber Трэвису Каланику удалить приложение сервиса из App Store после того, как выяснилось, что Uber отслеживала iPhone даже после удаления приложения с устройства.
Во-первых не следила, а была такая возможность, во вторых с технической точки зрения это практически невозможно. В iOS приложения живут «в фоне» от силы 3-5 минут, после чего система их убивает. Чтобы этого не произошло, приложение должно запросить у пользователя специальные разрешения, например на геолокацию. Однако, если приложение будет постоянно «жить» в фоне, оно съест всю батарейку. У iOS приложения Uber никогда не было проблем с батарейкой, отсюда можно сделать вывод, что вся эта история - выдумка, как минимум с точки зрения возможностей технической реализации.
Более того, сама Apple пока так и не высказалась по этому поводу. С другой стороны, с точки зрения developer коммьюнити iOS разработчиков, могу сказать, что это неслыханно, когда компания даёт преференции одному приложению над другими. Мне кажется, что это точно не единственный случай, в будущем мы услышим ещё несколько похожих историй.
думаю эта фраза на чистом русском выглядит немного иначе (и короче)
Да, вы правы :) Иногда билингвизм творит с людьми странные вещи 😃
То что вы пишете справедливо для обычных приложений. С private API всё вероятно иначе - как вариант, видя этот флаг (com.apple.private.allow-explicit-graphics-priority) менеджер процессов не убивает приложение.
Уберу они уже поблажки делали, так что ничего удивительного: https://vc.ru/23408-cook-vs-kalanick . Приложения рядового разработчика в случае таких махинаций удалили бы без суда и следствия.
Вот вот. Некоторые издатели по-любому равнее в аппсторе )
Согласен, может быть и такое. Но мы пока об этом ничего не знаем и, скорее всего, не узнаем.
У меня на айфоне YouTube работало тайно в фоне часов 10. Сожрало 52% аккумулятора. Не понимаю, что оно делало.
все понятно - смотрело видосики
У Убер точно был апдейт после которого приложение просило постоянный доступ к геолокации.
У Uber, естественно должен быть доступ к геолокации, это же приложение для поиска такси. С другой стороны, доступ бывает разный, в iOS это "использовать всегда" либо "использовать, пока приложение на экране". В целях экономии батарейки, Uber использует комбинацию первого и второго вариантов. То есть как только вы переключаетесь в другое приложение или выключаете экран, Uber через некоторое время перестает следить за вашим местоположением. Это экономит батарейку и так делают, в большинстве своём, все остальные iOS приложения. Однако пользователь iOS всегда может ограничить уровень доступа к геолокации для отдельных приложений, вплоть до полного запрета.
чувак, ты как будто матчасти начитался и все. Юбер раньше работал только если ты разрешишь ему использовать твою геолокацию всегда, когда ему захочется
Чувак, да он и сейчас то не очень работает без геолокации :)
Наверное, имеется в виду то, что в каких-то версиях Uber настойчиво рекомендовал включать геолокацию именно на «Всегда», а не на «При использовании программы» — мол, это позволит им более точно выбирать места посадки и все такое.
Но я не замечал, чтобы Uber в фоне юзал геолокацию.
Очень напрягает, когда понимаешь, что на xvideos смотришь видосик не только ты, но и все водители города.
лол и не только водители но и все остальные жители. и не только смотрят но и дрочат. и не только на xvideos но и на порнхабе. страшно жить :)
Если бы простой человек написал, что такое возможно, его бы на смех подняли. Шапочку из фольги просили бы снять.
У американских корпораций заготовлены тысячи таких подленьких нечестных конкурентных преимуществ к неамерским компаниям, и действуют они сообща, просто многие с ними не сталкиваются потому что их бизнес сам загибается по объективным или выглядящими на первый взгляд объективными причинам. Но если пройдёшь долину смерти стартапов и начнёшь конкурировать с амерскими компаниями, то тогда и столкнёшься вот с такими способами.
Ещё, например, амерские компании могут любой .com домен отобрать простым email-ом, не присылая вообще ни одного документа. http://iskalko.ru/googleliar И ничего ты не добьёшься, документов то нет. Вот так вложишь кучу времени, сил и денег, раскрутишь сайт, а домен у тебя легко уведут 1 email-ом от кого надо, и начинай всё сначала. Тут карты краплёные.
Для тех кто не в курсе истории с доменом, который отобрала гугл: https://geektimes.ru/post/285398/
Вкратце: человек зарегал домен ɢoogle.com и спамил им в отчеты гугл аналитики.
Конечно, это немного отличается от "вот так вложишь кучу времени, сил и денег, раскрутишь сайт, а домен у тебя легко уведут"
Этот домен на протяжении почти полугода массово спамил рефспамом гугл аналитику. Чрезвычайно рад, что его наконец-то прибили.
Для новеньких на Vc, здесь про это тоже писали:
https://vc.ru/21679-google-russian-spammer
https://vc.ru/22042-rus-no-google
https://vc.ru/24086-popov-google-court
Эта история отлично показывает, что существует и отработан механизм отъёма доменов просто по лживым email-ам, не присылая ни одного документа. Ни гугл, ни это американское ООО "Национальный Арбитражный форум", которое типо судья в этой процедуре отъёма доменов, ни одного документа владельцу домена, который отобрали, так и не прислали, несмотря на все запросы. Вот такие вот права у всех нас в этой системе.
Подождите, так тот Попов — и есть вы? Ну тогда мне кажется, что вы прекрасно понимаете, что гугл прав в этой ситуации. Но делаете невинное лицо.
В чём гугл прав? В том, что лживо обвинил в фишинге? Или в том, что лживо обвинил в рассылке спама, что спамом не является ни по Российскому, ни даже по американскому законодательству. А в США есть закон, который чётко определяет, что является спамом, а что не является, и по нему не является. Или в том, что не прислал ни одного документа с подписью со своими обвинениями владельцу домена? Или может гугл прав в том, что без спроса пользователей собирает телеметрию с их компьютеров, и при этом ещё имеет наглость обвинять тех, чья собранная без их разрешения информация гуглу не понравилась?
Основная и достаточная причина для аннулирования домена: ваш домен был схож с торговой маркой гугла. Поэтому домен и отобрали. Дополнительные документы здесь не требуются. http://domaingang.com/featured/google-complaint-udrp-removes-%C9%A2oogle-com-domain-from-russian-registrant/
На это вы что ответите? Что ваш ɢoogle.com не похож на google?
В том то и дело, что не достаточная. В рамках этой процедуры ещё обязательно надо доказать, что домен использовался 'с плохими намерениями', а не только по мнению заявителя на что-то там похож. Поэтому гугл и наврал про фишинг и спам, который по закону спамом не является. При этом домен oogle.com, принадлежащий американской же компании Blue Arctic LLC, которая на своём домене oogle.com и делала те вещи, которые гугл назвал фишингом и приписал другому домену xn--oogle-wmc.com, и которые к нему не имеют никакого отношения, гугл почему-то отбирать не стал. Т.е. американской компании можно владеть доменом oogle.com, ни разу не похожим на домен гугла, и делать там вещи, которые гугл квалифицировал как фишинг. И их не только не посадили, но даже и домен не отобрали. А домен xn--oogle-wmc.com, который ничем похожим не занимался, оболгали и отобрали. Почитайте http://iskalko.ru/googleliar , там лонгрид, но там подробно написано и про причины, и про процедуру, и почему гугл врал, и что гугл не прислал вообще никакие документы, вообще ни одного, даже что отбирает домен вообще, а не только какие-то дополнительные.
Почитал полный текст по вашему делу http://www.adrforum.com/domaindecisions/1710030.htm
надо доказать, что домен использовался 'с плохими намерениями'В полном тексте написано: "attracting Internet traffic by using a domain name that is identical or confusingly similar to a registered trademark may be evidence of bad faith"
Это же как раз ваш случай.
Вообще знаете, с обывательской точки зрения гугл прав: вы взяли их имя, спамили в аналитику, а теперь называете себя жертвой, а гугл — подлецами. Ну кто в здравом уме встанет на вашу сторону? Все только удивятся вашей наглости.
Может быть юридически-формально гугл где-то и допустили какие-то ошибки в протоколе — ну так подавайте на них в суд...
С обывательской точки зрения: гуглу понравилось чужое доменное имя и не понравилось как работают его следящие модули, которые он запихнул в десятки миллионов сайтов, с гуглом не связанных. Поэтому гугл оболгал человека, лживо обвинил в фишинге, хотя этим занималась другая амерская компания, которой почему-то всё сходит с рук, лживо назвал спамером, хотя закон чётко говорит, что это не спам, а также гугл задействовал специально прописанный протокол, чтобы отбирать любые .com домены без суда и даже не присылая ни одного документа владельцу домена.
Про подавайте в суд уже https://vc.ru/24086-popov-google-court . И в Генеральную прокуратуру тоже. Только Российский суд как-то больше документы любит, а гугл предусмотрительно ни одного документа не прислал. Нет даже документа, что домен отобрали и почему.
Так понравилось, что они аж свою компанию назвали вашим доменным именем :)
А сколько времени, сил и денег ты вложишь в домен перед тем, как его отберут email-ом, это уже вопрос индивидуальный, как повезёт, хотя согласен, в том моём комментарии как-то двусмысленно и комично прозвучало, потому что это предложение я написал в общем, а выглядит как-будто про тот случай.
Пора заклеивать камеры смартфона! :):):):)
Снёс Uber с айфона...
Комментарий удален модератором
Бля. Бля. Бля. За нами следят!
Стоило Сноудену уехать, и начался беспредел. За этими "инноваторами, меняющими мир", нужен глаз да глаз)
Ага. Честно говоря, меня как разработчика, поражает мягкость правил Эппл в отношении приватности юзеров даже для "обычных" разработчиков. Если вчитаться, они крайне либеральны и следить за юзерами по-сути можно почти как угодно. Я даже иногда чувствую себя неполноценным за то, что не пользуюсь этим.
То есть в айфоне нет API для записи с экрана (скринкаста, который есть в Андроиде ещё с 5-й версии)? )
Есть, но границы его использования четко очерчены - для записи геймплея. https://developer.apple.com/documentation/replaykit