Η Uber έχει παρασυρθεί από έναν γελοίο αριθμό αντιπαραθέσεων τον τελευταίο καιρό, αλλά τα πράγματα πρόκειται να γίνουν ακόμη χειρότερα για την υπηρεσία κοινής χρήσης. Ένας ερευνητής ασφάλειας σχεδίασε αντίστροφα τον κώδικα της εφαρμογής Android της Uber και έκανε μια εκπληκτική ανακάλυψη: «Είναι κυριολεκτικά κακόβουλο λογισμικό».
Εξετάζοντας τον κώδικα της εφαρμογής, το GironSec ανακάλυψε το Η εφαρμογή Uber "καλεί σπίτι" και στέλνει δεδομένα πίσω στην Uber. Ωστόσο, αυτά δεν είναι τυπικά δεδομένα εφαρμογής. Η Uber έχει πρόσβαση σε ολόκληρο το SMSLog των χρηστών, παρόλο που η εφαρμογή δεν ζητά ποτέ άδεια. Έχει επίσης πρόσβαση στο ιστορικό κλήσεων, τις συνδέσεις Wi-Fi που χρησιμοποιούνται, τις θέσεις GPS και κάθε τύπο αναγνωριστικού συσκευής.
Η εφαρμογή ελέγχει ακόμη και το Wi-Fi του γείτονά σας και ανακτά πληροφορίες σχετικά με τις δυνατότητες, τη συχνότητα και το SSID του δρομολογητή. Τα νέα σχετικά με την ευπάθεια της εφαρμογής δημοσιεύτηκαν για πρώτη φορά στο Hacker News με τη γοητευτική εισαγωγή, "
TLDR: Η εφαρμογή Android της Uber είναι κυριολεκτικά κακόβουλο λογισμικό.. " Ένας προγραμματιστής σχολιάζοντας την αποκάλυψη είπε ότι δεν υπάρχει «κανένας λόγος για την Google να μην αφαιρέσει αμέσως αυτήν την εφαρμογή από το κατάστημα οριστικά και να απαγορεύσει ό, τι ανέβασε ο προγραμματιστής. Μάλλον θα πρέπει να υπάρξει νομική ενέργεια ».Ακολουθεί η πλήρης λίστα με όλα τα δεδομένα που συλλέγει η Uber μέσω της εφαρμογής Android (ελέγχουμε αν η έκδοση iOS λειτουργεί με τον ίδιο τρόπο):
– Αρχείο καταγραφής λογαριασμών (ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ)
– Δραστηριότητα εφαρμογών (Όνομα, Όνομα Πακέτου, Αριθμός διεργασίας, Επεξεργασμένο αναγνωριστικό)
– Χρήση δεδομένων εφαρμογής (Μέγεθος προσωρινής μνήμης, μέγεθος κώδικα, μέγεθος δεδομένων, όνομα, όνομα πακέτου)
– Εγκατάσταση εφαρμογής (εγκατεστημένο στο, όνομα, όνομα πακέτου, άγνωστες πηγές ενεργοποιημένες, κωδικός έκδοσης, όνομα έκδοσης)
– Μπαταρία (υγεία, επίπεδο, βύσμα, παρόν, κλίμακα, κατάσταση, τεχνολογία, θερμοκρασία, τάση)
– Συσκευή Πληροφορίες (πίνακας, μάρκα, έκδοση κατασκευής, αριθμός κυψέλης, συσκευή, τύπος συσκευής, οθόνη, δακτυλικό αποτύπωμα, IP, MAC διεύθυνση, κατασκευαστής, μοντέλο, πλατφόρμα λειτουργικού συστήματος, προϊόν, κωδικός SDK, συνολικός χώρος στο δίσκο, άγνωστες πηγές ενεργοποιημένο)
– GPS (ακρίβεια, υψόμετρο, γεωγραφικό πλάτος, γεωγραφικό μήκος, πάροχος, ταχύτητα)
– MMS (από αριθμό, MMS σε, τύπο MMS, αριθμό υπηρεσίας, έως αριθμό)
– NetData (bytes που ελήφθησαν, bytes στάλθηκαν, τύπος σύνδεσης, τύπος διεπαφής)
– Τηλεφωνική κλήση (διάρκεια κλήσης, κλήση στο, από αριθμό, τύπος τηλεφωνικής κλήσης, έως αριθμό)
– γραπτό μήνυμα (από αριθμό, αριθμό υπηρεσίας, SMS σε, τύπο SMS, έως αριθμό)
– TelephonyInfo (αναγνωριστικό πύργου κυψέλης, γεωγραφικό πλάτος πύργου κυψέλης, γεωγραφικό μήκος πύργου κυψέλης, IMEI, κωδικό χώρας ISO, κωδικό τοπικής περιοχής, MEID, κινητό κωδικός χώρας, κωδικός δικτύου κινητής τηλεφωνίας, όνομα δικτύου, τύπος δικτύου, τύπος τηλεφώνου, σειριακός αριθμός SIM, κατάσταση SIM, συνδρομητής ΤΑΥΤΟΤΗΤΑ)
– WifiConnection (BSSID, IP, linkspeed, MAC addr, αναγνωριστικό δικτύου, RSSI, SSID)
– WifiNeighbours (BSSID, δυνατότητες, συχνότητα, επίπεδο, SSID)
– Έλεγχος ρίζας (root status code, root status code code, root root, sig file version)
– Πληροφορίες για κακόβουλο λογισμικό (εμπιστοσύνη αλγορίθμου, λίστα εφαρμογών, κακόβουλο λογισμικό, έκδοση SDK κακόβουλου λογισμικού, λίστα πακέτων, κωδικός αιτίας, λίστα υπηρεσιών, έκδοση sigfile)
Το Uber μπορεί να έχει έναν νόμιμο λόγο για να χρησιμοποιήσει τις περισσότερες από αυτές τις πληροφορίες στην εφαρμογή, ίσως για τον εντοπισμό απάτης ή ένα εργαλείο συλλογής πληροφοριών. Το πρόβλημα είναι ότι οι πληροφορίες αποστέλλονται και συλλέγονται από τους διακομιστές της Uber χωρίς τη γνώση ή την άδεια των χρηστών.
Ιαπωνικό λεπτό. Αλ Φράνκεν έστειλε επιστολή στον CEO της Uber, Travis Kalanick την περασμένη εβδομάδα απαιτώντας τον λογαριασμό της εταιρείας στο κοινό για τη συλλογή δεδομένων. Η επιστολή ήρθε ως απάντηση σε μια πρόσφατη διαμάχη όπου ένα στέλεχος της Uber απείλησε να κατασκοπεύσει και να εκβιάσει δημοσιογράφους που έγραψαν δυσμενή άρθρα για την εταιρεία. Το εργαλείο "God View" της Uber, το οποίο δίνει στους χρήστες της εταιρείας απεριόριστη πρόσβαση στα δεδομένα των αναβατών, έχει επίσης προκαλέσει ανησυχία τις τελευταίες εβδομάδες.
Η Cult of Mac ζήτησε από την Uber να σχολιάσει τη συλλογή και τη μετάδοση των δεδομένων που εκτελούν οι εφαρμογές της για Android και iOS, αλλά δεν έλαβε απάντηση.
Εκσυγχρονίζω: Η Uber έχει δώσει ορισμένες διευκρινίσεις στη συλλογή δεδομένων της εταιρείας, σημειώνοντας ότι η γενική πρόσβαση είναι στην πραγματικότητα μια απαίτηση από την Google, η οποία αναγκάζει τους προγραμματιστές Android να ζητήσουν άδεια απορρήτου εμπρός.
Η εκπρόσωπος της Uber Lara Sasken δημοσίευσε την ακόλουθη δήλωση στο Cult of Mac:
"Περιλαμβάνεται πρόσβαση σε δικαιώματα, συμπεριλαμβανομένων των δικτύων Wifi και της κάμερας, έτσι ώστε οι χρήστες να μπορούν να βιώσουν πλήρη λειτουργικότητα της εφαρμογής Uber. Αυτό δεν είναι μόνο για την Uber και η λήψη της εφαρμογής Uber είναι φυσικά προαιρετική. "
Recode σημειώνει ότι ο ανταγωνιστής Uber Lyft ζητά πρόσβαση στα ίδια δεδομένα στο Android. Σε αντίθεση με το iOS και τα Windows, Οι προγραμματιστές Android ενθαρρύνονται να ζητήσουν πρόσβαση σε περισσότερα δεδομένα χρήστη από ό, τι χρειάζονται πραγματικά οι εφαρμογές τους. Η εφαρμογή Uber στο Android εκθέτει την αδυναμία του λειτουργικού συστήματος κινητής τηλεφωνίας στο απόρρητο σε σύγκριση με iOS και Windows, και τα δύο επιτρέπουν στους χρήστες να αρνούνται την πρόσβαση σε δεδομένα κατά περίπτωση.
Μπορείτε να βρείτε πρόσθετες πληροφορίες σχετικά με τα δικαιώματα Android στο Ο ιστότοπος της Uber εδώ, αλλά δεν εξηγείται κάθε δυνατότητα.
Πηγή: GironSec
![5 λόγοι που η Apple πρέπει να απορρίψει τους επεξεργαστές Intel [Γνώμη]](/f/df88b8a928b577c25fd5817333dec4d8.jpg?width=81&height=81)
