Независимый специалист по информационной безопасности Уилл Стрэфач (Will Strafach) обнаружил, что корпорация Apple выдала официальному приложению Uber право шпионить за пользователями. Разработчики и ИБ-эксперты назвали обнаруженную уязвимость беспрецедентной и сравнили с установкой кейлоггера.
Эксперт отметил, что это единственное приложение в AppStore, которое официально получило исключительную привилегию фиксировать все происходящее на экранах iOS-устройств. Право, прописанное в коде как «com.apple.private.allow-explicit-graphics-priority», открывает доступ к фрейм-буферу и позволяет читать содержимое, даже когда приложение работает в фоновом режиме или закрыто.
Запись в буфер – распространенная практика, тогда как чтение, наоборот, редкость, поскольку эта операция открывает доступ к личным данным пользователя. Uber – не единственной приложение для iOS, которое эксплуатирует такую возможность. Отличие в том, что другие программы записи происходящего на экране работают только на «взломанных» устройствах (с джейлбрейком), а не с официального согласия Apple.
В компании Uber объяснили, что получили привилегию, чтобы улучшить работу приложения с Apple Watch, якобы умные часы некорректно обрабатывали карты. Представители Uber заявили, что после обновлений продуктов доступ к фрейм-буферу больше не требуется и код удалят из приложения в ближайшее время.
Uber пользовался «суперправами» с 2015 года, когда вышла первая версия Apple Watch. Все это время сотрудники компании или злоумышленники, проникшие в систему сервиса, могли тайно следить за экранами iOS-устройств, собирать пароли и персональные данные пользователей.
В Apple ситуацию не комментируют. Экспертное сообщество недоумевает, почему компания предоставила спорное разрешение, учитывая сомнительную репутацию Uber.
Ранее Uber уличили в использовании «режима бога» для слежки за перемещениями пассажиров после поездки и в отслеживании уровня заряда батареи устройства. Генеральная прокуратура США инициировала расследование против компании из-за использования Greyball – системы, которая тайно собирала данные о клиентах: чиновниках, полицейских и других госслужащих. Кроме того, Uber согласился на правительственный аудит защиты данных в течение 20 лет, чтобы избежать более суровых санкций.
Сookie-файл — текстовый файл, сохраненный в браузере компьютера (мобильного устройства)
пользователя интернет-сайта при его посещении пользователем для отражения совершенных
им действий, используемые для обеспечения или повышения работоспособности сайтов,
а также для получения аналитической информации.
С перечнем обрабатываемых cookie-файлов можно ознакомиться в
Политике обработки cookie-файлов Searchinform.
Файлы, осуществляющие хранение информации для обеспечения функционирования веб-ресурсов, информацию о выборе пользователя относительно принятия/отклонения cookie-файлов и не использующие какую-либо информацию о пользователе, которая может быть использована в маркетинговых целях или для учета посещаемых сайтов в сети Интернет.
Файлы, осуществляющие хранение информации о выборе пользователя. СёрчИнформ не устанавливает функциональные cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Файлы, предназначенные для оценки работы веб-ресурсов и осуществляющие хранение информации о пользовательских предпочтениях и наиболее просматриваемых страницах веб-ресурса. СёрчИнформ не устанавливает аналитические cookie, однако мы подключаем сервисы предоставляющие шрифты и карты, которые устанавливают собственные cookie. В случае отключения данного вида мы заблокируем данные сервисы, что повлечет изменение шрифта и перестанет работать карта.
Чтобы продолжить регистрацию, пожалуйста, разрешите обработку функциональных файлов cookie
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
