{"id":14262,"url":"\/distributions\/14262\/click?bit=1&hash=8ff33b918bfe3f5206b0198c93dd25bdafcdc76b2eaa61d9664863bd76247e56","title":"\u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u0435 \u041c\u043e\u0441\u043a\u0432\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u044e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 \u0434\u043e 1,5 \u043c\u043b\u043d \u0440\u0443\u0431\u043b\u0435\u0439","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"726c984a-5b07-5c75-81f7-6664571134e6"}

Apple разрешила Uber следить за экраном пользователей iPhone в фоновом режиме Статьи редакции

Сервис получил такую возможность в 2015 году, но не говорил об этом пользователям.

Apple на протяжении нескольких лет предоставляет Uber инструмент, позволяющий следить за информацией на экране iPhone даже при закрытом приложении. Об этом пишет ZDNet со ссылкой на исследователя в сфере интернет-безопасности Уилла Страфаха (Wiil Strafach), который первым обратил внимание на ситуацию.

Страфах обнаружил в коде приложения Uber для iOS «право» (entitlement) «com.apple.private.allow-explicit-graphics-priority». Оно позволяет разработчику читать или записывать часть данных с iPhone пользователя, отображаемых на экране, в том числе при закрытом приложении. По словам эксперта, Uber получила такую возможность в 2015 году.

Обнаруженная специалистом функция относится к категории «прав», которые можно использовать только с разрешения Apple, в то время как инструменты для отправки push-уведомлений и доступа к камере или Apple Pay на iPhone и iPad доступны всем разработчикам приложений для iOS. По словам Страфаха, Uber, скорее всего, единственная компания, получившая функцию записи данных с экрана. Специалист проанализировал тысячи приложений из App Store и не нашёл ни одного, у которого были бы подобные возможности.

Неназванный источник Business Insider также сказал, что из 200 лучших бесплатных приложений ни одно не использует подобные инструменты.

Специалист по джейлбрейку приложений для iPhone Лука Тодеско (Luca Todesco) в разговоре с Gizmodo предупредил, что наличие такого «права» делает пользователей потенциально уязвимыми перед мошенниками — в случае взлома Uber хакеры могут получить доступ к информации на экранах iPhone, в том числе к личным данным и вводимым паролям.

Кроме того, указывает Gizmodo, Uber также могла использовать функцию для отслеживания использования их клиентами сервисов конкурентов, например, Lyft.

Официальный представитель Uber объяснил, что компания использовала код для обеспечения стабильной работы приложения на часах Apple Watch, первая модель которых вышла в 2015 году. По его словам, API позволяет в фоновом режиме захватывать карты на смартфоне и передавать их на Apple Watch. Первые модели часов не могли обрабатывать карты самостоятельно, объяснили в компании.

Представитель Uber подчеркнул, что компания не использовала эту функцию ни для каких других целей. Он также сказал, что с обновлением Apple Watch и приложения Uber эта зависимость была устранена, и в ближайшее время компания удалит этот код из своего приложения.

​Почему пользователей не предупреждали о наличии такой функции, представитель Uber не сказал. В Apple не ответили на просьбу ZDNet прокомментировать ситуацию.

Это не первый случай, когда Uber обвиняют в слежке за пассажирами и водителями. Сейчас ФБР проводит расследование использования компанией программы для слежки за водителями конкурентных сервисов, которая называется Hell («Ад»). Весной 2017 года стало известно, что Uber использует приложение Greyball, чтобы скрыть работу сервиса от правоохранительных органов в странах, где к деятельности компании есть претензии.

В апреле 2017 года газета The New York Times писала, что в 2015 году гендиректор Apple Тим Кук лично угрожал бывшему главе Uber Трэвису Каланику удалить приложение сервиса из App Store после того, как выяснилось, что Uber отслеживала iPhone даже после удаления приложения с устройства.

0
36 комментариев
Написать комментарий...
Moonshine

Во-первых не следила, а была такая возможность, во вторых с технической точки зрения это практически невозможно. В iOS приложения живут «в фоне» от силы 3-5 минут, после чего система их убивает. Чтобы этого не произошло, приложение должно запросить у пользователя специальные разрешения, например на геолокацию. Однако, если приложение будет постоянно «жить» в фоне, оно съест всю батарейку. У iOS приложения Uber никогда не было проблем с батарейкой, отсюда можно сделать вывод, что вся эта история - выдумка, как минимум с точки зрения возможностей технической реализации.

Более того, сама Apple пока так и не высказалась по этому поводу. С другой стороны, с точки зрения developer коммьюнити iOS разработчиков, могу сказать, что это неслыханно, когда компания даёт преференции одному приложению над другими. Мне кажется, что это точно не единственный случай, в будущем мы услышим ещё несколько похожих историй.

Ответить
Развернуть ветку
John Doe
с точки зрения developer коммьюнити iOS разработчиков

думаю эта фраза на чистом русском выглядит немного иначе (и короче)

Ответить
Развернуть ветку
Moonshine

Да, вы правы :) Иногда билингвизм творит с людьми странные вещи 😃

Ответить
Развернуть ветку
wtf
В iOS приложения живут «в фоне» от силы 3-5 минут, после чего система их убивает. Чтобы этого не произошло, приложение должно запросить у пользователя специальные разрешения, например на геолокацию

То что вы пишете справедливо для обычных приложений. С private API всё вероятно иначе - как вариант, видя этот флаг (com.apple.private.allow-explicit-graphics-priority) менеджер процессов не убивает приложение.
Уберу они уже поблажки делали, так что ничего удивительного: https://vc.ru/23408-cook-vs-kalanick . Приложения рядового разработчика в случае таких махинаций удалили бы без суда и следствия.

Ответить
Развернуть ветку
Владимир Чернаткин

Вот вот. Некоторые издатели по-любому равнее в аппсторе )

Ответить
Развернуть ветку
Moonshine

Согласен, может быть и такое. Но мы пока об этом ничего не знаем и, скорее всего, не узнаем.

Ответить
Развернуть ветку
Харламка

У меня на айфоне YouTube работало тайно в фоне часов 10. Сожрало 52% аккумулятора. Не понимаю, что оно делало.

Ответить
Развернуть ветку
Xerox phaser 3117

все понятно - смотрело видосики

Ответить
Развернуть ветку
этот как его

У Убер точно был апдейт после которого приложение просило постоянный доступ к геолокации.

Ответить
Развернуть ветку
Moonshine

У Uber, естественно должен быть доступ к геолокации, это же приложение для поиска такси. С другой стороны, доступ бывает разный, в iOS это "использовать всегда" либо "использовать, пока приложение на экране". В целях экономии батарейки, Uber использует комбинацию первого и второго вариантов. То есть как только вы переключаетесь в другое приложение или выключаете экран, Uber через некоторое время перестает следить за вашим местоположением. Это экономит батарейку и так делают, в большинстве своём, все остальные iOS приложения. Однако пользователь iOS всегда может ограничить уровень доступа к геолокации для отдельных приложений, вплоть до полного запрета.

Ответить
Развернуть ветку
Dancing Astronaut

чувак, ты как будто матчасти начитался и все. Юбер раньше работал только если ты разрешишь ему использовать твою геолокацию всегда, когда ему захочется

Ответить
Развернуть ветку
Moonshine

Чувак, да он и сейчас то не очень работает без геолокации :)

Ответить
Развернуть ветку
Dima Tez

Наверное, имеется в виду то, что в каких-то версиях Uber настойчиво рекомендовал включать геолокацию именно на «Всегда», а не на «При использовании программы» — мол, это позволит им более точно выбирать места посадки и все такое.

Но я не замечал, чтобы Uber в фоне юзал геолокацию.

Ответить
Развернуть ветку
Aleksey Kozhevnikov
Ответить
Развернуть ветку
Konstantin Robu

Очень напрягает, когда понимаешь, что на xvideos смотришь видосик не только ты, но и все водители города.

Ответить
Развернуть ветку
Anton Ilabanau

лол и не только водители но и все остальные жители. и не только смотрят но и дрочат. и не только на xvideos но и на порнхабе. страшно жить :)

Ответить
Развернуть ветку
Vitaly

Если бы простой человек написал, что такое возможно, его бы на смех подняли. Шапочку из фольги просили бы снять.

У американских корпораций заготовлены тысячи таких подленьких нечестных конкурентных преимуществ к неамерским компаниям, и действуют они сообща, просто многие с ними не сталкиваются потому что их бизнес сам загибается по объективным или выглядящими на первый взгляд объективными причинам. Но если пройдёшь долину смерти стартапов и начнёшь конкурировать с амерскими компаниями, то тогда и столкнёшься вот с такими способами.

Ещё, например, амерские компании могут любой .com домен отобрать простым email-ом, не присылая вообще ни одного документа. http://iskalko.ru/googleliar И ничего ты не добьёшься, документов то нет. Вот так вложишь кучу времени, сил и денег, раскрутишь сайт, а домен у тебя легко уведут 1 email-ом от кого надо, и начинай всё сначала. Тут карты краплёные.

Ответить
Развернуть ветку
pongo

Для тех кто не в курсе истории с доменом, который отобрала гугл: https://geektimes.ru/post/285398/

Вкратце: человек зарегал домен ɢoogle.com и спамил им в отчеты гугл аналитики.

Конечно, это немного отличается от "вот так вложишь кучу времени, сил и денег, раскрутишь сайт, а домен у тебя легко уведут"

Ответить
Развернуть ветку
 

Этот домен на протяжении почти полугода массово спамил рефспамом гугл аналитику. Чрезвычайно рад, что его наконец-то прибили.

Ответить
Развернуть ветку
Vitaly

Для новеньких на Vc, здесь про это тоже писали:
https://vc.ru/21679-google-russian-spammer
https://vc.ru/22042-rus-no-google
https://vc.ru/24086-popov-google-court

Эта история отлично показывает, что существует и отработан механизм отъёма доменов просто по лживым email-ам, не присылая ни одного документа. Ни гугл, ни это американское ООО "Национальный Арбитражный форум", которое типо судья в этой процедуре отъёма доменов, ни одного документа владельцу домена, который отобрали, так и не прислали, несмотря на все запросы. Вот такие вот права у всех нас в этой системе.

Ответить
Развернуть ветку
pongo

Подождите, так тот Попов — и есть вы? Ну тогда мне кажется, что вы прекрасно понимаете, что гугл прав в этой ситуации. Но делаете невинное лицо.

Ответить
Развернуть ветку
Vitaly

В чём гугл прав? В том, что лживо обвинил в фишинге? Или в том, что лживо обвинил в рассылке спама, что спамом не является ни по Российскому, ни даже по американскому законодательству. А в США есть закон, который чётко определяет, что является спамом, а что не является, и по нему не является. Или в том, что не прислал ни одного документа с подписью со своими обвинениями владельцу домена? Или может гугл прав в том, что без спроса пользователей собирает телеметрию с их компьютеров, и при этом ещё имеет наглость обвинять тех, чья собранная без их разрешения информация гуглу не понравилась?

Ответить
Развернуть ветку
pongo

Основная и достаточная причина для аннулирования домена: ваш домен был схож с торговой маркой гугла. Поэтому домен и отобрали. Дополнительные документы здесь не требуются. http://domaingang.com/featured/google-complaint-udrp-removes-%C9%A2oogle-com-domain-from-russian-registrant/

На это вы что ответите? Что ваш ɢoogle.com не похож на google?

Ответить
Развернуть ветку
Vitaly

В том то и дело, что не достаточная. В рамках этой процедуры ещё обязательно надо доказать, что домен использовался 'с плохими намерениями', а не только по мнению заявителя на что-то там похож. Поэтому гугл и наврал про фишинг и спам, который по закону спамом не является. При этом домен oogle.com, принадлежащий американской же компании Blue Arctic LLC, которая на своём домене oogle.com и делала те вещи, которые гугл назвал фишингом и приписал другому домену xn--oogle-wmc.com, и которые к нему не имеют никакого отношения, гугл почему-то отбирать не стал. Т.е. американской компании можно владеть доменом oogle.com, ни разу не похожим на домен гугла, и делать там вещи, которые гугл квалифицировал как фишинг. И их не только не посадили, но даже и домен не отобрали. А домен xn--oogle-wmc.com, который ничем похожим не занимался, оболгали и отобрали. Почитайте http://iskalko.ru/googleliar , там лонгрид, но там подробно написано и про причины, и про процедуру, и почему гугл врал, и что гугл не прислал вообще никакие документы, вообще ни одного, даже что отбирает домен вообще, а не только какие-то дополнительные.

Ответить
Развернуть ветку
pongo

Почитал полный текст по вашему делу http://www.adrforum.com/domaindecisions/1710030.htm

надо доказать, что домен использовался 'с плохими намерениями'

В полном тексте написано: "attracting Internet traffic by using a domain name that is identical or confusingly similar to a registered trademark may be evidence of bad faith"

Это же как раз ваш случай.

Ответить
Развернуть ветку
pongo

Вообще знаете, с обывательской точки зрения гугл прав: вы взяли их имя, спамили в аналитику, а теперь называете себя жертвой, а гугл — подлецами. Ну кто в здравом уме встанет на вашу сторону? Все только удивятся вашей наглости.

Может быть юридически-формально гугл где-то и допустили какие-то ошибки в протоколе — ну так подавайте на них в суд...

Ответить
Развернуть ветку
Vitaly

С обывательской точки зрения: гуглу понравилось чужое доменное имя и не понравилось как работают его следящие модули, которые он запихнул в десятки миллионов сайтов, с гуглом не связанных. Поэтому гугл оболгал человека, лживо обвинил в фишинге, хотя этим занималась другая амерская компания, которой почему-то всё сходит с рук, лживо назвал спамером, хотя закон чётко говорит, что это не спам, а также гугл задействовал специально прописанный протокол, чтобы отбирать любые .com домены без суда и даже не присылая ни одного документа владельцу домена.

Про подавайте в суд уже https://vc.ru/24086-popov-google-court . И в Генеральную прокуратуру тоже. Только Российский суд как-то больше документы любит, а гугл предусмотрительно ни одного документа не прислал. Нет даже документа, что домен отобрали и почему.

Ответить
Развернуть ветку
pongo
гуглу понравилось чужое доменное имя

Так понравилось, что они аж свою компанию назвали вашим доменным именем :)

Ответить
Развернуть ветку
Vitaly

А сколько времени, сил и денег ты вложишь в домен перед тем, как его отберут email-ом, это уже вопрос индивидуальный, как повезёт, хотя согласен, в том моём комментарии как-то двусмысленно и комично прозвучало, потому что это предложение я написал в общем, а выглядит как-будто про тот случай.

Ответить
Развернуть ветку
Максим Масин

Пора заклеивать камеры смартфона! :):):):)

Ответить
Развернуть ветку
Александр Айвазовский

Снёс Uber с айфона...

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Teymur Ismailov

Бля. Бля. Бля. За нами следят!

Ответить
Развернуть ветку
Εгор Κонстантинов

Стоило Сноудену уехать, и начался беспредел. За этими "инноваторами, меняющими мир", нужен глаз да глаз)

Ответить
Развернуть ветку
Владимир Чернаткин

Ага. Честно говоря, меня как разработчика, поражает мягкость правил Эппл в отношении приватности юзеров даже для "обычных" разработчиков. Если вчитаться, они крайне либеральны и следить за юзерами по-сути можно почти как угодно. Я даже иногда чувствую себя неполноценным за то, что не пользуюсь этим.

Ответить
Развернуть ветку
Алексей Тарасов

То есть в айфоне нет API для записи с экрана (скринкаста, который есть в Андроиде ещё с 5-й версии)? )

Ответить
Развернуть ветку
Igor Savelev

Есть, но границы его использования четко очерчены - для записи геймплея. https://developer.apple.com/documentation/replaykit

Ответить
Развернуть ветку
33 комментария
Раскрывать всегда