Специалист по кибербезопасности Уилл Страфах обнаружил, что приложение Uber могло не только тайно шпионить за перемещениями пользователей. У этой программы также были права для работы с iPhone, которые позволяли ей скрыто записывать содержание экрана мобильника. Когда эксперт, который является исполнительным директором компании Sudo Security Group, связался с Uber, ее представители пообещали, что опция уже не используется, и ее удалят из приложения.
Возможность записывать экран дают так называемые «санкции» – это небольшие куски кода, которые разработчик может использовать для любых целей. Использованный Uber код должен улучшать управление памятью в часах Apple Watch. Его привлекают достаточно редко, поэтому он требовал прямого разрешения Apple на внедрение. Страфах, например, не нашел ни одной программы в App Store, которая бы использовала такой код.
«Похоже, что сторонний разработчик заставил Apple позволить ему использовать частный и чувствительный код санкций, – рассказывает Страфах. – Несмотря на прошлые проблемы Uber с приватностью, меня очень интересует, как это удалось».
Напомним, Uber уличили в том, что она шпионит за пользователями даже после завершения поездки. Компании пришлось публично пообещать изменить свою политику. Несколько лет назад Uber также пыталась обмануть Apple, и когда это разоблачили, Тим Кук пригрозил удалением приложения такси из App Store.
Приложение, в котором используется код санкций управления памятью, позволяет получить полный контроль над кадровым буфером. В нем размещается информация о цвете каждого пикселя на экране. Имея такую информацию, можно выстроить изображение, которое было на дисплее, и записать его. Также можно вывести какую-то искаженную информацию на экран. «Так можно потенциально воровать пароли», – поясняет один из разработчиков джейлбрейка для iOS Лука Тодеско.
Контролируя кадровый буфер, приложение также может заглядывать в другие приложения. Например, можно смотреть, как используется утилита конкурента. Это предположение имеет право на существование, поскольку Uber уличили в том, что она имела специальную программу Hell, которая отслеживала как водителей Uber, так и водителей конкурента Lyft.
В Uber говорят, что код санкций использовался только для улучшения производительности приложения Apple Watch. Страфах говорит, что он не нашел следов вредоносного использования кода. «Он использовался для старой версии приложения Apple Watch, особенно для выведения тяжелых задач вроде карт и дальнейшей отправки в Watch, – рассказывают в Uber. По их словам, часы с такой задачей не может справиться. – Эту зависимость убрали с развитием ОС Apple и нашего приложения. Таким образом, мы уберем этот программный интерфейс из нашей базы кода для iOS».
В компании также говорят, что Apple дала разрешение на использование кода санкций потому, что часы Apple Watch не мог справиться с выведением карт. Сейчас этот код ни к чему не подсоединен.
