Uber er blevet slettet af et latterligt antal kontroverser på det seneste, men tingene er ved at blive endnu værre for ride-delingstjenesten. En sikkerhedsforsker har lige omvendt konstrueret koden for Ubers Android-app og gjort en opsigtsvækkende opdagelse: Det er "bogstaveligt talt malware."
Ved at grave i appens kode opdagede GironSec Uber -appen "ringer hjem" og sender data tilbage til Uber. Dette er dog ikke typiske appdata. Uber har adgang til brugernes hele SMSLog, selvom appen aldrig anmoder om tilladelse. Det får også adgang til opkaldshistorik, anvendte Wi-Fi-forbindelser, GPS-placeringer og alle mulige enheds-id'er.
Appen kontrollerer endda din nabos Wi-Fi og henter oplysninger om routerens muligheder, frekvens og SSID. Nyheder om appens sårbarhed blev først sendt på Hacker News med den charmerende intro, "TLDR: Ubers Android -app er bogstaveligt talt malware. ” En udvikler, der kommenterede afsløringen, sagde, at der ikke er "nogen grund til, at Google ikke straks fjerner denne app permanent fra butikken og forbyder, hvilken udvikler der har uploadet den. Der burde nok være retssager. ”
Her er den fulde liste over alle de data, Uber indsamler via sin Android -app (vi kontrollerer, om iOS -versionen fungerer på samme måde):
– Kontolog (E -mail)
– Appaktivitet (Navn, Pakkenavn, Proces Antal aktivitet, Behandlet id)
– Anvendelse af appdata (Cachestørrelse, kodestørrelse, datastørrelse, navn, pakkenavn)
– Appinstallation (installeret på, navn, pakkenavn, ukendte kilder aktiveret, versionskode, versionsnavn)
– Batteri (sundhed, niveau, tilsluttet, til stede, skala, status, teknologi, temperatur, spænding)
– Enhed Info (tavle, mærke, build -version, celle nummer, enhed, enhedstype, display, fingeraftryk, IP, MAC adresse, producent, model, OS -platform, produkt, SDK -kode, samlet diskplads, ukendte kilder aktiveret)
– GPS (nøjagtighed, højde, breddegrad, længdegrad, udbyder, hastighed)
– MMS (fra nummer, MMS kl., MMS -type, servicenummer til nummer)
– NetData (bytes modtaget, bytes sendt, forbindelsestype, interfacetype)
– Telefon opkald (opkaldsvarighed, kaldet til, fra nummer, telefonopkaldstype til nummer)
– SMS (fra nummer, servicenummer, SMS på, SMS -type til nummer)
– TelefoniInfo (celle tårn ID, cell tårn breddegrad, cell tårn længdegrad, IMEI, ISO land kode, lokal område kode, MEID, mobil landekode, mobilnetværkskode, netværksnavn, netværkstype, telefontype, SIM -serienummer, SIM -tilstand, abonnent ID)
– Wifi -forbindelse (BSSID, IP, linkshastighed, MAC -addr, netværks -id, RSSI, SSID)
– WifiNaboer (BSSID, muligheder, frekvens, niveau, SSID)
– Rodkontrol (rodstatuskode, rodstatus årsagskode, rodversion, sig filversion)
– Malware -oplysninger (algoritmetillid, appliste, fundet malware, malware -SDK -version, pakkeliste, årsagskode, serviceliste, sigfile -version)
Uber kan have en legitim grund til at bruge de fleste af disse oplysninger i appen, måske til afsløring af svindel eller et værktøj til indsamling af efterretninger. Problemet er, at oplysningerne sendes og indsamles af Ubers servere uden brugernes viden eller tilladelse.
Sen. Al Franken sendte et brev til Uber CEO Travis Kalanick i sidste uge krævede virksomhedens konto til offentligheden for sin dataindsamling. Brevet kom som et svar på en nylig kontrovers, hvor en Uber -chef truede med at spionere og afpresse journalister, der skrev ugunstige artikler om virksomheden. Ubers værktøj "God View", der giver virksomhedens insidere ubegrænset adgang til rytternes data, har også været en årsag til bekymring i de seneste uger.
Cult of Mac bad Uber om kommentarer til indsamling og transmission af de data, dens Android- og iOS -apps udfører, men har ikke modtaget et svar.
Opdatering: Uber har givet en vis præcisering til virksomhedens dataindsamling og bemærket, at den generelle adgang er faktisk et krav fra Google, som tvinger Android -udviklere til at bede om fortrolige tilladelser foran.
Uber -talskvinde Lara Sasken udsendte følgende erklæring til Cult of Mac:
“Adgang til tilladelser inklusive Wifi -netværk og kamera er inkluderet, så brugerne kan opleve fuld funktionalitet i Uber -appen. Dette er ikke unikt for Uber, og download af Uber -appen er naturligvis valgfri. ”
Recode bemærker, at Uber-konkurrent Lyft anmoder om adgang til de samme data på Android. I modsætning til iOS og Windows, Android -udviklere opfordres til at anmode om adgang til flere brugerdata, end deres apps rent faktisk har brug for. Uber-appen på Android afslører nogle svagheder i mobiloperativsystemets fortrolighed i forhold til iOS og Windows, som begge giver brugerne mulighed for at nægte adgang til data fra sag til sag.
Yderligere oplysninger om Android -tilladelser findes på Ubers websted her, men ikke alle funktioner forklares.
Kilde: GironSec
![Apple laver ikke en iTV, de bringer bare iMac'en til stuen [analytiker]](/f/e00ff04446fd4f39110e7b98db5c7073.jpg?width=81&height=81)