우버는 최근 말도 안 되는 수의 논란에 휘말렸지만, 차량 공유 서비스의 경우 상황이 더욱 악화될 예정이다. 보안 연구원이 방금 Uber의 Android 앱 코드를 리버스 엔지니어링하여 "말 그대로 맬웨어"라는 놀라운 발견을 했습니다.
앱의 코드를 파고든 GironSec은 Uber 앱 "집에 전화" 및 데이터 다시 전송 우버로. 그러나 이것은 일반적인 앱 데이터가 아닙니다. 앱이 권한을 요청하지 않더라도 Uber는 사용자의 전체 SMSLog에 액세스할 수 있습니다. 또한 통화 기록, 사용된 Wi-Fi 연결, GPS 위치 및 가능한 모든 유형의 장치 ID에 액세스합니다.
이 앱은 이웃의 Wi-Fi도 확인하고 라우터의 기능, 주파수 및 SSID에 대한 정보를 검색합니다. 앱의 취약점에 대한 뉴스는 "Hacker News"라는 매력적인 소개와 함께 처음 게시되었습니다.TLDR: Uber의 Android 앱은 말 그대로 맬웨어입니다..” 폭로에 대해 논평한 한 개발자는 "Google이 스토어에서 즉시 이 앱을 영구적으로 제거하지 않고 개발자가 업로드한 모든 것을 금지하지 않을 이유가 없습니다. 법적 조치가 있어야 할 것 같다”고 말했다.
다음은 Uber가 Android 앱을 통해 수집하는 모든 데이터의 전체 목록입니다(iOS 버전이 동일한 방식으로 작동하는지 확인하고 있습니다).
– 계정 로그 (이메일)
– 앱 활동 (Name, PackageName, Process Number of Activity, Processed id)
– 앱 데이터 사용량 (캐시 크기, 코드 크기, 데이터 크기, 이름, 패키지 이름)
– 앱 설치 (설치 위치, 이름, 패키지 이름, 알 수 없는 소스 활성화됨, 버전 코드, 버전 이름)
– 배터리 (상태, 레벨, 연결됨, 현재, 규모, 상태, 기술, 온도, 전압)
– 장치 정보(보드, 브랜드, 빌드 버전, 셀 번호, 장치, 장치 유형, 디스플레이, 지문, IP, MAC 주소, 제조업체, 모델, OS 플랫폼, 제품, SDK 코드, 총 디스크 공간, 알 수 없는 소스 활성화됨)
– GPS (정확도, 고도, 위도, 경도, 공급자, 속도)
– MMS (번호, MMS at, MMS 종류, 서비스 번호에서 번호까지)
– 넷데이터 (받은 바이트, 보낸 바이트, 연결 유형, 인터페이스 유형)
– 전화 (통화시간, 발신자, 발신번호, 통화유형, 발신번호)
– SMS (번호, 서비스 번호, SMS at, SMS 종류에서 번호로)
– 전화 정보 ( 기지국 ID, 기지국 위도, 기지국 경도, IMEI, ISO 국가 코드, 지역 코드, MEID, 모바일 국가 코드, 모바일 네트워크 코드, 네트워크 이름, 네트워크 유형, 전화 유형, SIM 일련 번호, SIM 상태, 가입자 ID)
– 와이파이 연결 (BSSID, IP, 링크 속도, MAC 주소, 네트워크 ID, RSSI, SSID)
– 와이파이이웃 (BSSID, 기능, 주파수, 레벨, SSID)
– 루트 확인 (루트 상태 코드, 루트 상태 이유 코드, 루트 버전, sig 파일 버전)
– 멀웨어 정보 (알고리즘 신뢰도, 앱 목록, 악성코드 발견, 악성코드 SDK 버전, 패키지 목록, 이유 코드, 서비스 목록, 시그니처 파일 버전)
Uber는 아마도 사기 탐지 또는 정보 수집 도구를 위해 앱에서 이 정보의 대부분을 사용할 정당한 이유가 있을 수 있습니다. 문제는 정보가 Uber 서버에서 사용자 모르게 또는 허가 없이 전송 및 수집되고 있다는 것입니다.
센. 알 프랑켄 Uber CEO Travis Kalanick에게 편지를 보냈습니다. 지난 주 데이터 수집을 위해 회사 계정을 대중에게 요구했습니다. 이 편지는 Uber 경영진이 회사에 대해 불리한 기사를 작성한 언론인을 염탐하고 협박하겠다고 위협한 최근 논란에 대한 응답으로 나왔습니다. 회사 내부자가 라이더의 데이터에 무제한으로 액세스할 수 있는 Uber의 "God View" 도구도 최근 몇 주 동안 우려의 원인이었습니다.
Cult of Mac은 Uber에 Android 및 iOS 앱이 수행하는 데이터 수집 및 전송에 대한 의견을 요청했지만 응답을 받지 못했습니다.
업데이트: Uber는 회사의 데이터 수집에 대해 몇 가지 설명을 제공했습니다. 실제로 Android 개발자가 개인 정보 보호 권한을 요청하도록 강요하는 Google의 요구 사항 앞.
Uber 대변인 Lara Sasken은 Cult of Mac에 다음과 같은 성명을 발표했습니다.
“사용자가 Uber 앱의 모든 기능을 경험할 수 있도록 Wi-Fi 네트워크 및 카메라를 포함한 권한에 대한 액세스가 포함되어 있습니다. 이것은 Uber만의 것이 아니며 Uber 앱을 다운로드하는 것은 물론 선택 사항입니다.”
Recode는 Uber 경쟁자인 Lyft가 Android에서 동일한 데이터에 대한 액세스를 요청한다는 점에 주목합니다. iOS 및 Windows와 달리 Android 개발자는 액세스를 요청하는 것이 좋습니다. 앱이 실제로 필요로 하는 것보다 더 많은 사용자 데이터에 Android의 Uber 앱은 사용자가 사례별로 데이터에 대한 액세스를 거부할 수 있는 iOS 및 Windows와 비교하여 모바일 운영 체제의 개인 정보 보호 취약성을 일부 노출합니다.
Android 권한에 대한 추가 정보는 다음에서 찾을 수 있습니다. 여기 Uber 사이트, 그러나 모든 기능이 설명되는 것은 아닙니다.
원천: 기론섹