אובר נלקחה על ידי מספר מגוחך של מחלוקות בזמן האחרון, אבל העניינים עומדים להחמיר עוד יותר עבור שירות שיתוף הנסיעות. חוקר אבטחה בדיוק הנדס לאחור את הקוד של אפליקציית האנדרואיד של Uber וגילה תגלית מדהימה: זוהי "תוכנה זדונית פשוטו כמשמעו".
כשחפרו בקוד האפליקציה, גילתה GironSec את אפליקציית Uber "מתקשרת הביתה" ושולחת נתונים בחזרה לאובר. עם זאת, אלה אינם נתוני אפליקציות אופייניים. ל- Uber יש גישה לכלל SMS SMS של המשתמשים למרות שהאפליקציה לעולם לא מבקשת הרשאה. הוא גם ניגש להיסטוריית שיחות, לחיבורי Wi-Fi בשימוש, למיקומי GPS ולכל סוג מזהה מכשיר אפשרי.
האפליקציה אפילו בודקת את ה- Wi-Fi של השכן ומחזירה מידע על יכולות הנתב, התדירות וה- SSID. חדשות על פגיעות האפליקציה פורסמו לראשונה ב- Hacker News עם המבוא המקסים, "TLDR: אפליקציית האנדרואיד של Uber היא ממש תוכנה זדונית. ” אחד המפתחים שהגיב על הגילוי אמר שאין "סיבה ש- Google לא תסיר מיידית את האפליקציה הזו מהחנות לצמיתות ותאסור על כל מפתח שהעלה אותה. כנראה שצריכה להיות פעולה משפטית ”.
להלן הרשימה המלאה של כל הנתונים שאובר אוספת באמצעות אפליקציית האנדרואיד שלה (אנו בודקים אם גרסת iOS פועלת באותו אופן):
– יומן חשבונות (אימייל)
– פעילות אפליקציות (שם, שם חבילה, מספר תהליך הפעילות, מזהה מעובד)
– שימוש בנתוני אפליקציות (גודל מטמון, גודל קוד, גודל נתונים, שם, שם חבילה)
– התקנת אפליקציה (מותקן ב, שם, שם חבילה, מקורות לא ידועים מופעלים, קוד גירסה, שם גירסה)
– סוֹלְלָה (בריאות, רמה, מחובר, הווה, קנה מידה, סטטוס, טכנולוגיה, טמפרטורה, מתח)
– התקן מידע (לוח, מותג, גרסת build, מספר תא, מכשיר, סוג התקן, תצוגה, טביעת אצבע, IP, MAC כתובת, יצרן, דגם, פלטפורמת מערכת הפעלה, מוצר, קוד SDK, שטח שטח כולל, מקורות לא ידועים מופעל)
– ג'י.פי. אס (דיוק, גובה, קו רוחב, אורך, ספק, מהירות)
– MMS (ממספר, MMS ב, סוג MMS, מספר שירות, למספר)
– NetData (בתים שהתקבלו, בתים שנשלחו, סוג חיבור, סוג ממשק)
– שיחת טלפון (משך שיחה, התקשר למספר, מספר שיחת טלפון למספר)
– סמס (ממספר, מספר שירות, SMS ב-, סוג SMS, למספר)
– מידע טלפוני (מזהה מגדל התא, קו הרוחב של מגדל התא, אורך מגדל התא, IMEI, קוד מדינה ISO, קידומת אזור מקומי, MEID, נייד קוד מדינה, קוד רשת סלולרית, שם רשת, סוג רשת, סוג טלפון, מספר סידורי של SIM, מצב SIM, מנוי תְעוּדַת זֶהוּת)
– חיבור אינטרנט אלחוטי (BSSID, IP, linkspeed, MAC addr, מזהה רשת, RSSI, SSID)
– WifiNighbors (BSSID, יכולות, תדירות, רמה, SSID)
– בדיקת שורש (קוד סטטוס שורש, קוד סיבת מצב שורש, גרסת שורש, גירסת קובץ סיג)
– מידע על תוכנות זדוניות (ביטחון אלגוריתם, רשימת אפליקציות, תוכנות זדוניות שנמצאו, גרסת SDK זדונית, רשימת חבילות, קוד סיבה, רשימת שירותים, גרסת sigfile)
לאובר עשויה להיות סיבה לגיטימית להשתמש ברוב המידע הזה באפליקציה, אולי לגילוי הונאות או כלי לאיסוף מודיעין. הבעיה היא שהמידע נשלח ונאסף על ידי שרתי Uber ללא ידיעת המשתמשים או אישורם.
סנ. אל פרנקן שלח מכתב למנכ"ל אובר, טרוויס קלניק בשבוע שעבר דרשה את חשבון החברה לציבור לצורך איסוף הנתונים שלה. המכתב הגיע כמענה למחלוקת שהתקיימה באחרונה, כאשר מנהלת אובר איימה לרגל ולסחוט עיתונאים שכתבו מאמרים שליליים על החברה. הכלי "God View" של אובר, שנותן למקורבי החברה גישה בלתי מוגבלת לנתוני הרוכבים, גם הוא מעורר דאגה בשבועות האחרונים.
Cult of Mac ביקש מאובר להגיב על איסוף והעברת הנתונים שאפליקציות האנדרואיד וה- iOS שלה מבצעות, אך לא קיבלו תגובה.
עדכון: אובר סיפקה הבהרות מסוימות לאיסוף הנתונים של החברה, וציין כי הגישה השמיכה היא למעשה דרישה של Google, מה שמאלץ את מפתחי Android לבקש הרשאות פרטיות חֲזִית.
דוברת אובר לארה סאסן פרסמה את הודעתה הבאה לקאלט מק:
"גישה להרשאות כולל רשתות Wifi ומצלמה כלולה כך שמשתמשים יוכלו לחוות את הפונקציונליות המלאה של אפליקציית Uber. זה לא ייחודי ל- Uber, והורדת אפליקציית Uber היא כמובן אופציונלית. "
Recode מציין כי מתחרה Uber Lyft מבקשת גישה לאותם נתונים ב- Android. שלא כמו iOS ו- Windows, מפתחי אנדרואיד מוזמנים לבקש גישה לנתוני משתמשים יותר ממה שהאפליקציות שלהם באמת צריכות. אפליקציית Uber באנדרואיד חושפת חלק מהחולשה של מערכת ההפעלה הסלולרית בפרטיות בהשוואה ל- iOS ול- Windows, ששתיהן מאפשרות למשתמשים לסרב לגשת לנתונים בכל מקרה לגופו.
מידע נוסף על הרשאות אנדרואיד ניתן למצוא ב האתר של אובר כאן, אך לא כל תכונה מוסברת.
מָקוֹר: GironSec
