Когда Apple Watch только вышли на рынок, Apple предоставила Uber так называемое «разрешение» на использование специального API для улучшения производительности приложения Uber на носимом устройстве.
Это разрешение сегодня привлекло внимание заголовков, когда исследователи безопасности сообщили изданию Gizmodo, что Uber могла использовать его для записи экрана iPhone пользователя, даже если приложение Uber просто работало в фоновом режиме.
В своем заявлении Uber сообщила, что разрешение использовалось для старой версии приложения Apple Watch и было предоставлено Uber, поскольку первые Apple Watch не могли отображать карты.
«Оно использовалось для старой версии приложения Apple Watch, в частности, для выполнения ресурсоемких задач по отображению карт на вашем телефоне и последующей отправки отрисовки в приложение Watch», — сообщил представитель Uber изданию Gizmodo, добавив, что ранние Apple Watch не могли справиться с этим процессом самостоятельно. «Эта зависимость была устранена с помощью предыдущих улучшений ОС Apple и нашего приложения. Поэтому мы удаляем этот API из нашей кодовой базы iOS».
Согласно заявлению, сделанному изданию Gizmodo, и твиту руководителя отдела коммуникаций по безопасности и конфиденциальности Uber Мелани Энсин, разрешение больше не является необходимым, и Uber планирует удалить его из кодовой базы iOS.
По словам исследователя безопасности Уилла Страфаха, который первым обратил внимание на эту проблему, Apple нечасто выдает разрешения. Страфах сказал, что не смог найти других приложений в App Store, обладающих такими же правами, как приложение Uber.
API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It’s not in use & being removed. Thx!
— Melanie Ensign (@iMeluny) October 5, 2017
Страфах утверждает, что нет никаких доказательств того, что Uber когда-либо злоупотребляла этим разрешением, но оно могло быть использовано для отслеживания активности на iPhone, записи паролей и другой личной информации. «По сути, оно дает полный контроль над фреймбуфером, который содержит цвета каждого пикселя вашего экрана. Так что они потенциально могут рисовать или записывать экран», — сказал изданию Gizmodo другой исследователь безопасности, Лука Тодеско.
Uber заявляет, что приложение больше не связано ни с чем в текущей кодовой базе компании, но пользователи, вероятно, все равно будут насторожены, поскольку с приложением Uber уже были другие проблемы с конфиденциальностью. Была функция, позволявшая отслеживать пассажиров до пяти минут после поездки, и генеральный директор Apple Тим Кук даже дошел до того, что пригрозил удалить приложение из App Store после того, как было обнаружено, что оно тайно записывало UDID iPhone для их идентификации даже после удаления приложения Uber.
Обновление: Представитель Uber сообщил, что пятничное обновление удалило API.
