Uberは最近、とんでもない数の論争に巻き込まれていますが、相乗りサービスの状況はさらに悪化しつつあります。 セキュリティ研究者は、UberのAndroidアプリのコードをリバースエンジニアリングし、驚くべき発見をしました。それは「文字通りマルウェア」です。
アプリのコードを掘り下げて、GironSecは Uberアプリは「家に電話」してデータを送り返します ユーバーへ。 ただし、これは一般的なアプリデータではありません。 アプリが許可を要求しない場合でも、UberはユーザーのSMSLog全体にアクセスできます。 また、通話履歴、使用されているWi-Fi接続、GPS位置、および可能なすべてのタイプのデバイスIDにアクセスします。
このアプリは、隣人のWi-Fiをチェックし、ルーターの機能、周波数、SSIDに関する情報を取得します。 アプリの脆弱性に関するニュースは、魅力的なイントロでHackerNewsに最初に投稿されました。TLDR:UberのAndroidアプリは文字通りマルウェアです。」 この啓示についてコメントしているある開発者は、「Googleがこのアプリをすぐにストアから完全に削除せず、開発者がアップロードしたものを禁止しない理由は何もない」と述べています。 おそらく法的措置が必要です。」
UberがAndroidアプリを通じて収集しているすべてのデータの完全なリストは次のとおりです(iOSバージョンが同じように機能するかどうかを確認しています)。
– アカウントログ (Eメール)
– アプリのアクティビティ (名前、パッケージ名、アクティビティのプロセス番号、処理されたID)
– アプリのデータ使用量 (キャッシュサイズ、コードサイズ、データサイズ、名前、パッケージ名)
– アプリのインストール (インストール先、名前、パッケージ名、有効な不明なソース、バージョンコード、バージョン名)
– バッテリー (ヘルス、レベル、プラグ、現在、スケール、ステータス、テクノロジー、温度、電圧)
– 端末 情報(ボード、ブランド、ビルドバージョン、セル番号、デバイス、デバイスタイプ、ディスプレイ、指紋、IP、MAC アドレス、メーカー、モデル、OSプラットフォーム、製品、SDKコード、合計ディスク容量、不明なソース 有効)
– GPS (精度、高度、緯度、経度、プロバイダー、速度)
– MMS
– NetData (受信バイト数、送信バイト数、接続タイプ、インターフェースタイプ)
– 電話 (通話時間、電話番号、電話の種類、番号から)
– SMS (番号、サービス番号、SMS at、SMSタイプから番号まで)
– TelephonyInfo (セルタワーID、セルタワー緯度、セルタワー経度、IMEI、ISO国コード、ローカルエリアコード、MEID、モバイル 国コード、モバイルネットワークコード、ネットワーク名、ネットワークタイプ、電話タイプ、SIMシリアル番号、SIM状態、加入者 ID)
– WifiConnection (BSSID、IP、リンク速度、MACアドレス、ネットワークID、RSSI、SSID)
– WifiNeighbors (BSSID、機能、頻度、レベル、SSID)
– ルートチェック (ルートステータスコード、ルートステータス理由コード、ルートバージョン、sigファイルバージョン)
– マルウェア情報 (アルゴリズムの信頼性、アプリリスト、検出されたマルウェア、マルウェアSDKバージョン、パッケージリスト、理由コード、サービスリスト、sigfileバージョン)
Uberには、おそらく不正検出やインテリジェンス収集ツールのために、アプリでこの情報のほとんどを使用する正当な理由がある可能性があります。 問題は、情報がユーザーの知らないうちに許可なくUberのサーバーによって送信および収集されていることです。
セン。 アル・フランケン UberのCEOであるTravisKalanickに手紙を送りました 先週、データ収集のために企業アカウントを一般に要求しました。 この手紙は、Uberの幹部が会社について不利な記事を書いたジャーナリストをスパイしたり脅迫したりするという最近の論争への返答として届いた。 会社の内部関係者がライダーのデータに無制限にアクセスできるようにするUberの「GodView」ツールも、ここ数週間懸念の原因となっています。
Cult of MacはUberに、AndroidアプリとiOSアプリが実行しているデータの収集と送信についてコメントを求めましたが、返答はありませんでした。
アップデート: Uberは、会社のデータ収集にいくつかの説明を提供し、包括的アクセスは 実際にはGoogleからの要件であり、Android開発者はプライバシー許可を要求する必要があります フロント。
Uberの広報担当者LaraSaskenは、Cult ofMacに次の声明を発表しました。
「ユーザーがUberアプリの全機能を体験できるように、Wi-Fiネットワークやカメラなどの権限へのアクセスが含まれています。 これはUberに固有のものではなく、Uberアプリのダウンロードはもちろんオプションです。」
Uberの競合他社であるLyftがAndroid上の同じデータへのアクセスを要求していることに注意してください。 iOSやWindowsとは異なり、 Android開発者は、アクセスをリクエストすることをお勧めします アプリが実際に必要とするよりも多くのユーザーデータに。 AndroidのUberアプリは、iOSやWindowsと比較して、モバイルオペレーティングシステムのプライバシーの弱点を明らかにしています。どちらの場合も、ユーザーはケースバイケースでデータへのアクセスを拒否できます。
Androidの権限に関する追加情報は、 Uberのサイトはこちら、 ただし、すべての機能が説明されているわけではありません。
ソース: GironSec