Noll
(Bild: en fil foto)
Uber har sagt att det kommer att ta bort koden från sin iPhone-app som säkerhet säger forskarna kunde låta den rida-dela app spela in tv-skärmen även om appen är stängt.
Kommer Strafach, en säkerhetsforskare, upptäckte i veckan att Uber hade fått en odokumenterad egen app tillstånd som ger tillgång till tv-inspelning funktion. Det är en av många “rättigheter” att göra det möjligt för utvecklare att utnyttja funktionerna på en iPhone eller iPad som är normalt tabu att de flesta app-utvecklare, om de inte har beviljats särskilt tillstånd av Apple.
Många tv-inspelning appar använder denna rätt utan tillstånd, såsom iRec, som kör på jailbroken enheter.
Strafach sade att hans kunskap, baserad på tusentals app binärer han har indexerat, Uber är bara tredje part app som fick en egen rätt.
Andra iPhone-och iPad-app utvecklare säger att flytten var aldrig tidigare skådad.
Apple expert-och jailbreak författare Luca Todesco berättade ZDNet att det var ett “extremt farlig användningsfall.”
Todesco förklarade att den särskilda rätten, känd som “kom.apple.privata.låt explicit-grafik-prioritet”, ” kan en utvecklare för att läsa eller skriva till iPhone framebuffer, en del av telefonens minne som innehåller pixel och visa data. “Att skriva är alltid möjligt från en app med normal rendering tjänster, som drar till framebuffer på dina vägnar,” sade han. “Att läsa kan du titta på enhetens skärm.”
“Det motsvarar att ge keylogging förmåga att appar”, sade han.
Han varnade också för att det ger en betydande svaghet” för användare av Uber app, eftersom få av kod rättigheter skulle låta en angripare logga användarens autentiseringsuppgifter. “Det ger ett ganska stort mål på toppen av appen,” sade han.
“Jag anser att detta är mycket skrämmande och farlig, sade han.
En Uber talesman sade att den kod som används för att förbättra rendering på sin Apple-Klocka-appen.
“Det är inte anslutna till något annat i vår nuvarande kodbas och diff [sic] för att ta bort det redan att hamna i produktion”, sade en talesman. “Detta API skulle tillåta kartor att göra på telefonen i bakgrunden och sedan skickas till din Apple Titta på,” tillade de.
“Efterföljande uppdateringar för Apple och Titta på vår app bort detta beroende, så vi tar bort API helt,” sade talespersonen.
Det är den senaste i en lång historia av frågor som rör integritet och kränkningar centrerad på Uber och dess app.
Det är den senaste i en lång historia av liknande Uber-relaterade frågor som rör integritet, inklusive program som används för att spåra förare av konkurrerande tjänst Lyft och andra hemliga program som syftar till att upptäcka och frustrerande insatser av polis och undercover myndigheter.
New York Times rapporterade tidigare i år att Apples vd Tim Cook hotade med att sparka Uber ut av Apple App Store-efter Uber som blev påkommen med att bryta mot reglerna genom att spåra iPhones efter appen togs bort.
Strafach sa att han inte visste hur, “även efter det att [Om] tidigare misshandlat” regler, Uber fortfarande är “övertygad om Apple för att låta dem ha exklusiv tillgång till denna privilegierade” rätt.
“Det verkar som om de fått särskild behandling, och vill inte direkt erkänna det,” sade han.
När nått, en Apple talesperson ville inte kommentera.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0