Uber se ha visto afectado por una cantidad ridícula de controversias últimamente, pero las cosas están a punto de empeorar aún más para el servicio de viajes compartidos. Un investigador de seguridad acaba de realizar una ingeniería inversa del código de la aplicación de Uber para Android e hizo un descubrimiento sorprendente: es "literalmente malware".
Profundizando en el código de la aplicación, GironSec descubrió el La aplicación Uber "llama a casa" y envía datos a Uber. Sin embargo, no se trata de datos típicos de una aplicación. Uber tiene acceso a todo el SMSLog de los usuarios a pesar de que la aplicación nunca solicita permiso. También accede al historial de llamadas, las conexiones Wi-Fi utilizadas, las ubicaciones de GPS y todo tipo de identificación de dispositivo posible.
La aplicación incluso verifica el Wi-Fi de su vecino y recupera información sobre las capacidades, la frecuencia y el SSID del enrutador. La noticia de la vulnerabilidad de la aplicación se publicó por primera vez en Hacker News con la encantadora introducción "
TLDR: la aplicación para Android de Uber es literalmente malware. " Un desarrollador que comentó sobre la revelación dijo que no hay "ninguna razón para que Google no elimine inmediatamente esta aplicación de la tienda de forma permanente y prohíba a cualquier desarrollador que la haya subido". Probablemente debería haber una acción legal ".Aquí está la lista completa de todos los datos que Uber está recopilando a través de su aplicación de Android (estamos verificando si la versión de iOS funciona de la misma manera):
– Registro de cuentas (Correo electrónico)
– Actividad de la aplicación (Nombre, Nombre del paquete, Número de proceso de la actividad, Id. Procesado)
– Uso de datos de la aplicación (Tamaño de la caché, tamaño del código, tamaño de los datos, nombre, nombre del paquete)
– Instalación de la aplicación (instalado en, nombre, nombre del paquete, fuentes desconocidas habilitadas, código de versión, nombre de la versión)
– Batería (salud, nivel, enchufado, presente, escala, estado, tecnología, temperatura, voltaje)
– Dispositivo Información (placa, marca, versión de compilación, número de celular, dispositivo, tipo de dispositivo, pantalla, huella digital, IP, MAC dirección, fabricante, modelo, plataforma de sistema operativo, producto, código SDK, espacio total en disco, fuentes desconocidas activado)
– GPS (precisión, altitud, latitud, longitud, proveedor, velocidad)
– MMS (de número, MMS en, tipo de MMS, número de servicio, a número)
– NetData (bytes recibidos, bytes enviados, tipo de conexión, tipo de interfaz)
– Llamada telefónica (duración de la llamada, llamada al, desde el número, tipo de llamada telefónica, al número)
– SMS (de número, número de servicio, SMS en, tipo de SMS, a número)
– TelephonyInfo (ID de la torre celular, latitud de la torre celular, longitud de la torre celular, IMEI, código de país ISO, código de área local, MEID, código de país, código de red móvil, nombre de red, tipo de red, tipo de teléfono, número de serie de SIM, estado de SIM, suscriptor IDENTIFICACIÓN)
– Conexión wifi (BSSID, IP, velocidad de enlace, dirección MAC, ID de red, RSSI, SSID)
– WifiVecinos (BSSID, capacidades, frecuencia, nivel, SSID)
– Verificación de raíz (código de estado raíz, código de motivo del estado raíz, versión raíz, versión del archivo sig)
– Información de malware (confianza del algoritmo, lista de aplicaciones, malware encontrado, versión del SDK de malware, lista de paquetes, código de motivo, lista de servicios, versión de sigfile)
Uber podría tener una razón legítima para usar la mayor parte de esta información en la aplicación, tal vez para la detección de fraudes o una herramienta de recopilación de inteligencia. El problema es que los servidores de Uber envían y recopilan la información sin el conocimiento o permiso de los usuarios.
Senador Al Franken envió una carta al CEO de Uber, Travis Kalanick la semana pasada exigiendo la cuenta de la empresa al público por su recopilación de datos. La carta surgió como respuesta a una controversia reciente en la que un ejecutivo de Uber amenazó con espiar y chantajear a los periodistas que escribían artículos desfavorables sobre la empresa. La herramienta "God View" de Uber, que brinda a los miembros de la compañía acceso ilimitado a los datos de los pasajeros, también ha sido motivo de preocupación en las últimas semanas.
Cult of Mac le pidió a Uber que comentara sobre la recopilación y transmisión de los datos que están realizando sus aplicaciones de Android e iOS, pero no ha recibido una respuesta.
Actualizar: Uber ha proporcionado algunas aclaraciones a la recopilación de datos de la empresa, señalando que el acceso general es en realidad, un requisito de Google, que obliga a los desarrolladores de Android a solicitar permisos de privacidad parte delantera.
La portavoz de Uber, Lara Sasken, emitió la siguiente declaración a Cult of Mac:
“Se incluye el acceso a los permisos, incluidas las redes Wifi y la cámara, para que los usuarios puedan experimentar la funcionalidad completa de la aplicación Uber. Esto no es exclusivo de Uber y, por supuesto, descargar la aplicación Uber es opcional ".
Recode señala que Lyft, competidor de Uber, solicita acceso a los mismos datos en Android. A diferencia de iOS y Windows, Se anima a los desarrolladores de Android a solicitar acceso a más datos de usuario de los que realmente necesitan sus aplicaciones. La aplicación Uber en Android expone algunas de las debilidades de privacidad del sistema operativo móvil en comparación con iOS y Windows, los cuales permiten a los usuarios rechazar el acceso a los datos caso por caso.
Puede encontrar información adicional sobre los permisos de Android en El sitio de Uber aquí, pero no se explican todas las funciones.
Fuente: GirónSec
