חוקרי אבטחה: אפל מספקת לאובר יכולות מעקב מטרידות במיוחד

חוקרי אבטחה מחברת Sudo Security Group גילו כי ענקית שיתופי הנסיעות אובר (Uber) מפעילה קוד על אפליקציית ה-iPhone שלה, שמאפשר לה לצלם את המסך של המשתמש גם כאשר האפליקציה סגורה וכן לגשת למידע אישי אחר ללא ידיעתו. בתגובה הודיעה החברה כי תסיר את הקוד.

חוקר האבטחה וויל סטראפטץ', מנכ"ל Sudo Security Group, גילה השבוע כי לאובר ניתנה הרשאת יישום פרטית ולא מתועדת, המאפשרת לה גישה לתכונת הקלטת המסך. מדובר רק על אחת מתוך הרבה "הרשאות", המאפשרות למפתחים לנצל תכונות של iPhone או iPad, שבדרך כלל נמצאות מחוץ לתחום בעבור רוב מפתחי היישומים, אלא אם כן קיבלו מאפל (Apple) אישור מיוחד לשם כך.

תכונה עוצמתית במיוחד שעשויה לאפשר שימוש מסוכן

אלא שלדברי סטראפטץ', הדלת האחורית שמספקת אפל לאובר לתכונה המסוימת עוצמתית במיוחד ולכן היא כמעט ולא מאפשרת לחברות צד שלישי לגשת לתכונה זו. סטראפטץ' אמר כי למיטב ידיעתו, בהתבסס על אלפי קבצים בינאריים של אפליקציה שהוסיף לאינדקס, אובר היא האפליקציה היחידה של צד שלישי שקיבלה הרשאה פרטית מהסוג המדובר. הוא טען באוזניי ה-Business Insider כי "הענקת זכאות רגישה כזו לצד שלישי היא חסרת תקדים", והוסיף וטען כי "אף מפתחי אפליקציות אחרים לא הצליחו לשכנע את אפל להעניק להם הרשאות שהם זקוקים להן בכדי לאפשר ליישומים שלהם לנצל פונקציונליות מסוימת מועדפת זו של המערכת".

גם מפתחים אחרים של יישומי iPhone ו-iPad אמרו כי המהלך חסר תקדים. לוקה טודסקו, מומחה אבטחה של מוצרי אפל, אמר ל-ZDNet כי מדובר ב"מקרה שימוש מסוכן ביותר". טודסקו אף טען כי "ההרשאה יכולה לאפשר להם (לאובר) לגנוב סיסמאות", וכן ששימוש אפשרי אחר בה הוא ריגול אחרי הבעלים של המכשיר, ולמשל מעקב אחר אופני השימוש שלו באפליקציות של חברות מתחרות, כמו למשל Gett או Lyft.

לדברי Business Insider, אובר אינה מזכירה את הדלת האחורית במידע לצרכן שהיא מספקת עם האפליקציה שלה. עם זאת יצוין כי אין כל ראיות שאובר השתמשה בתכונת ה-iPhone המיוחדת. החברה אמרה ל-Business Insider כי הקוד לא היה בשימוש ושהוא בסך הכל "שאריות" מגרסה מוקדמת יותר של האפליקציה שלה ב-Apple Watch.