Uber 的安全通信主管今天宣佈,該公司將移除其 iOS 應用的訪問權限,該應用可能會讓該公司在不知情的情況下記錄用戶的信息。安全研究人員註意到,優步獲得瞭蘋果的這些私人 API,這是這傢專註於安全的公司采取的前所未有的舉動。
在 iOS 中,應用程序開發人員使用權限來訪問不同的 API。例如,iCloud 和 Apple Pay 的 API 使用需要在應用程序中使用特定的權限。
使用授權來進行控制的原因是,保證 iOS 應用隻能訪問他們絕對需要的東西。正如蘋果所說," 通過小心地啟用你所需要的資源訪問權限,如果惡意代碼成功地利用瞭你的應用,你就能將潛在的損害最小化。"
這就是 Uber 的 iOS 應用引起瞭一些人的關註的原因。
當 Apple Watch 首次發佈時,蘋果向 Uber 提供瞭一種 " 授權 ",可以運行一種特殊的 API,從而改善這款腕戴設備上的 Uber 應用的性能。
今天,安全研究人員告訴媒體,即使 Uber 應用隻是在後臺運行,Uber 也可以用它來記錄用戶的 iPhone 屏幕信息。
優步在一份聲明中表示,這一權利被用於舊版 Apple Watch 應用,並被提供給瞭 Uber,因為最初的 Apple Watch 無法呈現地圖。
Uber 的一位發言人對媒體表示:" 它被用於蘋果手表應用的早期版本,尤其是當需要在手機上進行渲染地圖的繁重工作時,能及時把渲染結果發送給手表應用。" 他說,早期的蘋果手表無法獨自處理這一過程。蘋果的操作系統和應用經過不斷的改進,消除瞭這種依賴性。因此,他們正在從 iOS 代碼庫中移除這個 API。
根據安全研究人員 Will Strafach 的說法,蘋果並不經常提供這樣的特殊授權。這也引起瞭人們對這個問題的關註。Strafach 說,他在 App Store 上沒有看到任何其他應用可以獲得像 Uber 應用這樣的許可。
另一位安全研究員 Luca Todesco 則表示,沒有證據表明 Uber 濫用瞭這一權利,但它可以非常確定用來監控 iPhone 的活動,記錄密碼和其他個人信息。實際上,它讓你可以完全控制 framebuffer,它包含瞭屏幕每個像素的顏色。因此,他們可以潛在地繪制或記錄屏幕。
Uber 表示,這款應用已經不再與該公司當前的代碼庫有任何聯系,但用戶可能會很謹慎,因為 Uber 應用也存在其他隱私問題。去年晚些時候,用戶曾抱怨稱,這款應用在使用打車服務後的幾天甚至幾周時間裡似乎都在追蹤用戶,這迫使該公司做出瞭解釋。
蘋果首席執行官蒂姆 • 庫克甚至威脅要將這款應用從 app Store 中移除,因為該應用被發現是在秘密錄制 iphone 的 UDID,以便在優步應用被刪除後再次識別它們。
