Okazuje się, że aplikacja Ubera posiada specjalną furtkę w iOS, dzięki której może być nagrywany ekran użytkownika korzystającego z iPhone’a nawet, gdy program nie został włączony.
Will Strafach to badacz zabezpieczeń. Odkrył niedawno niebezpieczną furtkę w aplikacji Ubera, dzięki której możliwe było narywanie ekranu iPhone’a użytkownika. Normalnie taka funkcja jest poza zasięgiem dewelopera aplikacji dopóki Apple nie udzieli mu specjalnego dostępu. Problem w tym, że Uber był jedynym programem na iOS, który taką przepustkę jednak otrzymał. Ekran mógł być nagrywany nawet, jeśli aplikacja była wyłączona.
Mowa tak naprawdę o prywatnym i nieudokumentowanym zapytaniu „com.apple.private.allow-explicit-graphics-priority”. Według eksperta Luca Tudesco cała sytuacja jest nie do pomyślenia, bowiem to tak, jakby dać aplikacji funkcje keyloggera. Dzięki temu możliwe jest łatwe wykradzenie wrażliwych informacji (loginów, haseł itd.). Nie wiadomo obecnie dlaczego Apple przyznało taką możliwość tylko Uberowi. Zwłaszcza, że firma ma od dłuższego czasu same problemy z dotrzymywaniem prywatności. Apple wcześniej groziło, że usunie nawet aplikację z App Store’a, ale tak się nie stało.
Apple nie skomentowało jeszcze całej sprawy i na razie unika komentarzy. Uber natomiast wystosował oświadczenie, w którym stwierdził, że funkcja była używana do działania jego aplikacji na Apple Watchu. Oznacza to, że mapa była renderowana w tle na smartfonie i następnie przesyłana na smartwatcha. Niniejsza opcja ma jednak zostać usunięta z API.
Oczywiście firmy będą chciały teraz ugasić pożar, ale sytuacja naprawdę jest bardzo krytyczna. Coś takiego w ogóle nie powinno mieć miejsca. Najgorzej wygląda pozycja Apple, które najwidoczniej dało specjalne przywileje Uberowi mimo wcześniejszych kłopotów, które on generował. Ostatecznie może zastanawiać to czy można wierzyć i ufać firmom w to, co mówią – nie wiadomo tak naprawdę czy ktoś z Ubera nie wykradł wrażliwych danych. A taka sytuacja mogła spotkać każdego, kto zainstalował tę aplikację.
Źródło: Will Strafach, ZDNet
Na stronie mogą występować linki afiliacyjne lub reklamowe.
Nothing w końcu ujawnił datę startu aktualizacji. System Nothing OS 4.0 oparty na stabilnym Androidzie…
Sieć Play wprowadziła nową promocję Black Week. Tym razem nie dotyczy ona telefonów komórkowych czy…
Wszystko wskazuje na to, że OnePlus 15 nie jest tak doskonały, jak się spodziewano, a…
Amazfit wprowadza nową, mniejszą wersję modelu Amazfit T-Rex 3 Pro. Zmniejszyła się średnica ekranu względem…
Samsung Galaxy S25 Edge to bezapelacyjna ciekawostka producenta z bieżącego roku. Podczas premiery flagowiec kosztował…
Werewolf: The Apocalypse - Heart of the Forest to polska hybryda przygodówki i RPG, osadzona…