Независимый специалист по информационной безопасности Уилл Стрэфач (Will Strafach) обнаружил, что корпорация Apple выдала официальному приложению Uber право шпионить за пользователями. Разработчики и ИБ-эксперты назвали обнаруженную уязвимость беспрецедентной и сравнили с установкой кейлоггера.

Эксперт отметил, что это единственное приложение в AppStore, которое официально получило исключительную привилегию фиксировать все происходящее на экранах iOS-устройств. Право, прописанное в коде как «com.apple.private.allow-explicit-graphics-priority», открывает доступ к фрейм-буферу и позволяет читать содержимое, даже когда приложение работает в фоновом режиме или закрыто.

Запись в буфер – распространенная практика, тогда как чтение, наоборот, редкость, поскольку эта операция открывает доступ к личным данным пользователя. Uber – не единственной приложение для iOS, которое эксплуатирует такую возможность. Отличие в том, что другие программы записи происходящего на экране работают только на «взломанных» устройствах (с джейлбрейком), а не с официального согласия Apple.

В компании Uber объяснили, что получили привилегию, чтобы улучшить работу приложения с Apple Watch, якобы умные часы некорректно обрабатывали карты. Представители Uber заявили, что после обновлений продуктов доступ к фрейм-буферу больше не требуется и код удалят из приложения в ближайшее время.

Uber пользовался «суперправами» с 2015 года, когда вышла первая версия Apple Watch. Все это время сотрудники компании или злоумышленники, проникшие в систему сервиса, могли тайно следить за экранами iOS-устройств, собирать пароли и персональные данные пользователей.

В Apple ситуацию не комментируют. Экспертное сообщество недоумевает, почему компания предоставила спорное разрешение, учитывая сомнительную репутацию Uber.

Ранее Uber уличили в использовании «режима бога» для слежки за перемещениями пассажиров после поездки и в отслеживании уровня заряда батареи устройства. Генеральная прокуратура США инициировала расследование против компании из-за использования Greyball – системы, которая тайно собирала данные о клиентах: чиновниках, полицейских и других госслужащих. Кроме того, Uber согласился на правительственный аудит защиты данных в течение 20 лет, чтобы избежать более суровых санкций.