Uber telah dikesampingkan oleh sejumlah kontroversi konyol akhir-akhir ini, tetapi segalanya akan menjadi lebih buruk untuk layanan berbagi perjalanan. Seorang peneliti keamanan baru saja merekayasa balik kode aplikasi Android Uber dan membuat penemuan mengejutkan: Ini "secara harfiah malware."
Menggali kode aplikasi, GironSec menemukan Aplikasi Uber "menelepon ke rumah" dan mengirim data kembali ke Uber. Ini bukan data aplikasi biasa. Uber memiliki akses ke seluruh SMSLog pengguna meskipun aplikasi tidak pernah meminta izin. Itu juga mengakses riwayat panggilan, koneksi Wi-Fi yang digunakan, lokasi GPS, dan setiap jenis ID perangkat yang memungkinkan.
Aplikasi ini bahkan memeriksa Wi-Fi tetangga Anda dan mengambil info tentang kemampuan, frekuensi, dan SSID router. Berita kerentanan aplikasi pertama kali diposting di Hacker News dengan intro yang menawan, “TLDR: Aplikasi Android Uber secara harfiah adalah malware.” Salah satu pengembang yang mengomentari wahyu mengatakan tidak ada “alasan bagi Google untuk tidak segera menghapus aplikasi ini dari toko secara permanen dan melarang pengembang apa pun yang mengunggahnya. Mungkin harus ada tindakan hukum.”
Berikut daftar lengkap semua data yang dikumpulkan Uber melalui aplikasi Android-nya (kami sedang memeriksa untuk melihat apakah versi iOS bekerja dengan cara yang sama):
– Log akun (Surel)
– Aktivitas Aplikasi (Nama, Nama Paket, Jumlah Proses aktivitas, ID yang Diproses)
– Penggunaan Data Aplikasi (Ukuran cache, ukuran kode, ukuran data, nama, nama paket)
– Instal Aplikasi (diinstal di, nama, nama paket, sumber tidak dikenal diaktifkan, kode versi, nama versi)
– Baterai (kesehatan, level, terpasang, sekarang, skala, status, teknologi, suhu, tegangan)
– Perangkat Info (papan, merek, versi build, nomor sel, perangkat, jenis perangkat, tampilan, sidik jari, IP, MAC alamat, pabrikan, model, platform OS, produk, kode SDK, total ruang disk, sumber tidak dikenal diaktifkan)
– GPS (akurasi, ketinggian, lintang, bujur, penyedia, kecepatan)
– MMS (dari nomor, MMS di, jenis MMS, nomor layanan, hingga nomor)
– NetData (byte yang diterima, byte yang dikirim, jenis koneksi, jenis antarmuka)
– Panggilan telepon (durasi panggilan, panggilan di, dari nomor, jenis panggilan telepon, ke nomor)
– SMS (dari nomor, nomor layanan, SMS di, jenis SMS, hingga nomor)
– Info Telepon (ID menara seluler, lintang menara seluler, bujur menara seluler, IMEI, kode negara ISO, kode area lokal, MEID, seluler kode negara, kode jaringan seluler, nama jaringan, jenis jaringan, jenis telepon, nomor seri SIM, status SIM, pelanggan INDO)
– Koneksi wifi (BSSID, IP, kecepatan tautan, MAC addr, ID jaringan, RSSI, SSID)
– WifiTetangga (BSSID, kemampuan, frekuensi, level, SSID)
– Pemeriksaan Akar (kode status root, kode alasan status root, versi root, versi file sig)
– Informasi Perangkat Lunak Jahat (kepercayaan algoritma, daftar aplikasi, malware yang ditemukan, versi SDK malware, daftar paket, kode alasan, daftar layanan, versi sigfile)
Uber mungkin memiliki alasan yang sah untuk menggunakan sebagian besar info ini di aplikasi, mungkin untuk deteksi penipuan atau alat pengumpulan intelijen. Masalahnya adalah informasi tersebut dikirim dan dikumpulkan oleh server Uber tanpa sepengetahuan atau izin pengguna.
Sen. Al Franken mengirim surat kepada CEO Uber Travis Kalanick pekan lalu menuntut akun perusahaan tersebut ke publik untuk pendataan. Surat itu datang sebagai tanggapan atas kontroversi baru-baru ini di mana seorang eksekutif Uber mengancam akan memata-matai dan memeras jurnalis yang menulis artikel yang tidak menguntungkan tentang perusahaan tersebut. Alat "God View" Uber, yang memberi orang dalam perusahaan akses tak terbatas ke data pengendara, juga menjadi perhatian dalam beberapa pekan terakhir.
Cult of Mac meminta komentar Uber tentang pengumpulan dan transmisi data yang dilakukan oleh aplikasi Android dan iOS-nya, tetapi belum menerima tanggapan.
Memperbarui: Uber telah memberikan beberapa klarifikasi untuk pengumpulan data perusahaan, mencatat bahwa akses menyeluruh adalah sebenarnya persyaratan dari Google, yang memaksa pengembang Android untuk meminta izin privasi ke atas depan.
Juru bicara Uber Lara Sasken merilis pernyataan berikut kepada Cult of Mac:
“Akses ke izin termasuk jaringan Wifi dan kamera disertakan sehingga pengguna dapat merasakan fungsionalitas penuh dari aplikasi Uber. Ini tidak unik untuk Uber, dan mengunduh aplikasi Uber tentu saja opsional.”
Recode mencatat bahwa pesaing Uber Lyft meminta akses ke data yang sama di Android. Tidak seperti iOS dan Windows, Pengembang Android didorong untuk meminta akses ke lebih banyak data pengguna daripada yang sebenarnya dibutuhkan aplikasi mereka. Aplikasi Uber di Android mengekspos beberapa kelemahan sistem operasi seluler dalam privasi dibandingkan dengan iOS dan Windows, yang keduanya memungkinkan pengguna untuk menolak akses ke data berdasarkan kasus per kasus.
Informasi tambahan tentang izin Android dapat ditemukan di Situs Uber di sini, tetapi tidak setiap fitur dijelaskan.
Sumber: GironSec
