r   e   k   l   a   m   a
r   e   k   l   a   m   a

Specjalne przywileje dla Ubera na iPhone'a: apka może potajemnie nagrywać ekran

Strona główna AktualnościBEZPIECZEŃSTWO

Czy Uber mógł poprzez swoją aplikację wykradać wrażliwe dane właścicieli iPhone’a? Z technicznego punktu widzenia mógł, i to nawet gdy aplikacja była zamknięta, gdyż dysponowała uprawnieniem com.apple.private.allow-explicit-graphics-priority. Specjalista od bezpieczeństwa iOS-a Will Strafach na łamach Twittera pyta: dlaczego Uber ma to uprawnienie? Nowa opcja gdzieś w portalu deweloperskim? Pytanie jest niebagatelne, ponieważ normalnie uprawnienia takie mają wyłącznie systemowe aplikacje iOS-a.

Twórcy aplikacji na iOS-a wykorzystują model uprawnień (entitlements) do uzyskania dostępu do różnych interfejsów programowania. Chodzi o to, by aplikacje mogły korzystać tylko z tego, co naprawdę jest im niezbędne. Wiąże się to ze strategią bezpieczeństwa Apple, zgodnie z którą minimalizacja dostępu do systemowych zasobów przekłada się na minimalizację szkód, jakie mogłaby poczynić uzłośliwiona aplikacja. I tak np. uzyskanie uprawnienia Apple Pay pozwala na płatności w aplikacji poprzez Apple Pay.

r   e   k   l   a   m   a

Są jednak interfejsy, z których żadna aplikacja wprowadzona do AppStore w ogóle nie może korzystać. To prywatne API Apple’a, których nazwa zaczyna się od com.apple.private. Uważane są one za tak ryzykowne, że do AppStore nie dopuszcza się żadnej aplikacji z nich korzystającej. Czemu zatem w dostępnej przez AppStore aplikacji Ubera znalazło się uprawnienie com.apple.private.allow-explicit-graphics-priority, pozwalające aplikacji na dostęp do zawartości ekranu bez informowania o tym użytkownika?

Will Strafach, który od lat bada bezpieczeństwo aplikacji mobilnych i który dokonał tego odkrycia, stwierdził w wywiadzie dla Business Insidera, że Uber to jedyna aplikacja ze zbadanych dziesiątek tysięcy, która takim uprawnieniem dysponowała. Co z nim robiła? Odpowiedź przyszła dość szybko – ale jest to odpowiedź bardzo osobliwa.

Pani Melanie Ensign z działu bezpieczeństwa i prywatności Ubera poinformowała, że owszem, aplikacja zyskała takie uprawnienia, ponieważ wczesne wersje smartzegarka Apple Watch nie radziły sobie z wystarczająco dokładnym renderowaniem map w Uberze. Kolejne aktualizacje Apple Watch i aplikacji pozwoliły zrezygnować z tej zależności, a dziś Uber pracuje z Apple nad całkowitym usunięciem tego API.

Samo Apple nie skomentowało tego incydentu. Tłumaczenie Ubera nie jest jednak bezpodstawne. Aplikacja Ubera była demonstrowana podczas premiery Apple Watcha w 2015 roku. Później Uber i Apple miały jeszcze swoje przygody: gdy Uber wykorzystał inne prywatne funkcje Apple do śledzenia urządzeń z iOS-em, nawet po ich wykasowaniu, były szef firmy Travis Kalanick został wezwany do Cupertino. Jak donosił New York Times, Tim Cook miał tam go ostrzec, że takie akcje mogą skończyć się usunięciem Ubera z AppStore.

W 2016 roku Apple zostało jednak udziałowcem Ubera poprzez swoją inwestycję w chińską firmę Didi Chuxing, która przejęła chińską filię Ubera – i od tamtego czasu wiele operatorowi najpopularniejszej usługi Sharing Economy uchodzi płazem. Will Strafach zauważa: sądzę, że muszą mieć oni specjalne układy, biorąc pod uwagę to, że Apple dało im wyłączny dostęp do uprzywilejowanego interfejsu IOKitu zaraz po tym, jak nadużyli innych interfejsów IOKitu, naruszając regulamin AppStore bez żadnych konsekwencji.

Niestety, korzystając z iOS-a nie ma praktycznie możliwości, by zabezpieczyć swoje dane przed Apple – albo firmami, którym Apple ufa.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.