Uber on saanut viime aikoina naurettavan paljon kiistoja, mutta asiat jakautuvat vieläkin pahemmaksi ratsastuspalvelulle. Turvallisuustutkija kehitti juuri Uberin Android-sovelluksen koodin ja teki hämmästyttävän havainnon: se on "kirjaimellisesti haittaohjelma".
Kaivamalla sovelluksen koodiin GironSec löysi Uber -sovellus soittaa kotiin ja lähettää tiedot takaisin Uberiin. Tämä ei kuitenkaan ole tyypillistä sovellustietoa. Uberilla on pääsy käyttäjien koko SMSLogiin, vaikka sovellus ei koskaan kysy lupaa. Se käyttää myös puheluhistoriaa, käytettyjä Wi-Fi-yhteyksiä, GPS-sijainteja ja kaikkia mahdollisia laitetunnuksia.
Sovellus tarkistaa jopa naapurisi Wi-Fi-yhteyden ja hakee tietoja reitittimen ominaisuuksista, taajuudesta ja SSID: stä. Uutiset sovelluksen haavoittuvuudesta julkaistiin ensimmäisen kerran Hacker Newsissa viehättävän johdannon avulla, "TLDR: Uberin Android -sovellus on kirjaimellisesti haittaohjelma. ” Eräs paljastusta kommentoinut kehittäjä sanoi, ettei ole mitään syytä, miksi Google ei poista tätä sovellusta heti pysyvästi kaupasta ja kieltää sen lataamat kehittäjät. Varmaan pitäisi ryhtyä oikeustoimiin. ”
Tässä on täydellinen luettelo kaikista tiedoista, joita Uber kerää Android -sovelluksensa kautta (tarkistamme, toimiiko iOS -versio samalla tavalla):
– Tililoki (Sähköposti)
– Sovellustoiminta (Nimi, PackageName, Prosessin aktiviteetin määrä, Käsitelty tunnus)
– Sovellustietojen käyttö (Välimuistin koko, koodikoko, datakoko, nimi, paketin nimi)
– Sovelluksen asennus (asennettu osoitteeseen, nimi, paketin nimi, tuntemattomat lähteet käytössä, version koodi, version nimi)
– Akku (terveys, taso, kytketty, läsnä, asteikko, tila, tekniikka, lämpötila, jännite)
– Laite Tiedot (kortti, brändi, koontiversio, solun numero, laite, laitetyyppi, näyttö, sormenjälki, IP, MAC osoite, valmistaja, malli, käyttöjärjestelmäalusta, tuote, SDK -koodi, koko levytila, tuntemattomat lähteet käytössä)
– GPS (tarkkuus, korkeus, leveysaste, pituusaste, tarjoaja, nopeus)
– MMS (numerosta, MMS -osoitteesta, MMS -tyypistä, palvelunumerosta numeroon)
– NetData (vastaanotetut tavut, lähetetyt tavut, yhteystyyppi, käyttöliittymän tyyppi)
– Puhelu (puhelun kesto, soitettu, numerosta, puhelutyypistä numeroon)
– tekstiviesti (numerosta, palvelunumerosta, tekstiviestistä, tekstiviestityypistä numeroon)
– TelephonyInfo (solutornin tunnus, solutornin leveysaste, solutornin pituusaste, IMEI, ISO -maakoodi, suuntanumero, MEID, matkapuhelin maatunnus, matkapuhelinverkon koodi, verkon nimi, verkon tyyppi, puhelintyyppi, SIM -sarjanumero, SIM -tila, tilaaja Tunnus)
– Wifi -yhteys (BSSID, IP, linkkinopeus, MAC -osoite, verkkotunnus, RSSI, SSID)
– WifiNaapurit (BSSID, ominaisuudet, taajuus, taso, SSID)
– Juuren tarkistus (juuritilakoodi, juuritilan syykoodi, juuriversio, sig -tiedostoversio)
– Tietoa haittaohjelmista (algoritmin luottamus, sovellusluettelo, löydetty haittaohjelma, haittaohjelmien SDK -versio, pakettiluettelo, syykoodi, palveluluettelo, sigfile -versio)
Uberilla saattaa olla perusteltu syy käyttää suurinta osaa näistä tiedoista sovelluksessa, ehkä petosten havaitsemiseksi tai tiedustelutietojen keräämiseen. Ongelmana on, että tiedot lähetetään ja kerätään Uberin palvelimilta ilman käyttäjien tietämystä tai lupaa.
Sen. Al Franken lähetti kirjeen Uberin toimitusjohtajalle Travis Kalanickille viime viikolla vaativat yritystiliä yleisöltä tietojen keräämiseksi. Kirje tuli vastauksena äskettäiseen kiistaan, jossa Uberin johtaja uhkasi vakoilla ja kiristää toimittajia, jotka kirjoittivat epäsuotuisia artikkeleita yrityksestä. Uberin ”God View” -työkalu, joka antaa yrityksen sisäpiiriläisille rajoittamattoman pääsyn ratsastajien tietoihin, on myös aiheuttanut huolta viime viikkoina.
Cult of Mac pyysi Uberia kommentoimaan Android- ja iOS -sovellustensa suorittaman tiedon keräämistä ja siirtoa, mutta ei ole saanut vastausta.
Päivittää: Uber on selventänyt yrityksen tiedonkeruuta ja todennut, että yleinen pääsy on itse asiassa Googlen vaatimus, joka pakottaa Android -kehittäjät pyytämään yksityisyysoikeuksia edessä.
Uberin tiedottaja Lara Sasken julkaisi Cult of Macille seuraavan lausunnon:
"Käyttöoikeudet, mukaan lukien Wifi -verkot ja kamera, sisältyvät hintaan, jotta käyttäjät voivat kokea Uber -sovelluksen kaikki toiminnot. Tämä ei ole ainutlaatuista Uberille, ja Uber -sovelluksen lataaminen on tietysti valinnaista. ”
Recode huomauttaa, että Uber-kilpailija Lyft pyytää pääsyä samoihin tietoihin Androidilla. Toisin kuin iOS ja Windows, Android -kehittäjiä kehotetaan pyytämään käyttöoikeutta enemmän käyttäjätietoja kuin heidän sovelluksensa todellisuudessa tarvitsevat. Androidin Uber-sovellus paljastaa osan mobiilikäyttöjärjestelmän heikkoudesta yksityisyydessä iOS- ja Windows-käyttöjärjestelmiin verrattuna, joiden avulla käyttäjät voivat kieltäytyä pääsemästä tietoihin tapauskohtaisesti.
Lisätietoja Android -käyttöoikeuksista on osoitteessa Uberin sivusto täällä, mutta kaikkia ominaisuuksia ei selitetä.
Lähde: GironSec
![Siirry vihreään ja saat vähemmän vihreää 20 prosentin alennuksella tietyistä bändeistä [Watch Store]](/f/8f6db4d296d61119a8a2cbcea55c062d.jpg?width=81&height=81)