O Uber tem sido varrido por um número ridículo de controvérsias ultimamente, mas as coisas estão prestes a ficar ainda piores para o serviço de compartilhamento de caronas. Um pesquisador de segurança acabou de fazer a engenharia reversa do código do aplicativo do Uber para Android e fez uma descoberta surpreendente: é "literalmente malware".
Explorando o código do aplicativo, o GironSec descobriu o O aplicativo Uber “liga para casa” e envia dados de volta para Uber. No entanto, esses não são dados típicos de aplicativos. O Uber tem acesso a todo SMSLog dos usuários, embora o aplicativo nunca solicite permissão. Ele também acessa o histórico de chamadas, conexões Wi-Fi usadas, localizações de GPS e todos os tipos de ID de dispositivo possíveis.
O aplicativo ainda verifica o Wi-Fi do seu vizinho e recupera informações sobre as capacidades, frequência e SSID do roteador. A notícia da vulnerabilidade do aplicativo foi postada pela primeira vez no Hacker News com a encantadora introdução, “TLDR: o aplicativo Uber para Android é literalmente malware
. ” Um desenvolvedor comentando sobre a revelação disse que não há “nenhuma razão para o Google não remover imediatamente este aplicativo da loja permanentemente e banir qualquer desenvolvedor que o tenha enviado. Provavelmente deveria haver ação legal. ”Aqui está a lista completa de todos os dados que o Uber está coletando por meio de seu aplicativo Android (estamos verificando se a versão do iOS funciona da mesma maneira):
– Registro de contas (O email)
– Atividade de aplicativo (Nome, nome do pacote, número do processo da atividade, id processado)
– Uso de dados de aplicativos (Tamanho do cache, tamanho do código, tamanho dos dados, nome, nome do pacote)
– Instalação de aplicativo (instalado em, nome, nome do pacote, fontes desconhecidas habilitadas, código da versão, nome da versão)
– Bateria (integridade, nível, conectado, presente, escala, status, tecnologia, temperatura, tensão)
– Dispositivo Informações (placa, marca, versão de construção, número de celular, dispositivo, tipo de dispositivo, exibição, impressão digital, IP, MAC endereço, fabricante, modelo, plataforma de sistema operacional, produto, código SDK, espaço total em disco, fontes desconhecidas ativado)
– GPS (precisão, altitude, latitude, longitude, provedor, velocidade)
– MMS (de número, MMS em, tipo de MMS, número de serviço, para número)
– NetData (bytes recebidos, bytes enviados, tipo de conexão, tipo de interface)
– Chamada telefónica (duração da chamada, chamada em, de número, tipo de chamada telefônica, para número)
– SMS (de número, número de serviço, SMS em, tipo de SMS, para número)
– TelephonyInfo (ID da torre de celular, latitude da torre de celular, longitude da torre de celular, IMEI, código de país ISO, código de área local, MEID, celular código do país, código da rede móvel, nome da rede, tipo de rede, tipo de telefone, número de série do SIM, estado do SIM, assinante EU IRIA)
– Conexão wifi (BSSID, IP, velocidade de link, endereço MAC, ID de rede, RSSI, SSID)
– WifiNeighbours (BSSID, capacidades, frequência, nível, SSID)
– Verificação de raiz (código de status raiz, código de razão do status raiz, versão raiz, versão do arquivo sig)
– Informações sobre malware (confiança do algoritmo, lista de aplicativos, malware encontrado, versão do SDK do malware, lista de pacotes, código de razão, lista de serviços, versão sigfile)
O Uber pode ter um motivo legítimo para usar a maior parte dessas informações no aplicativo, talvez para detecção de fraude ou uma ferramenta de coleta de inteligência. O problema é que as informações estão sendo enviadas e coletadas pelos servidores do Uber sem o conhecimento ou permissão dos usuários.
Sen. Al Franken enviou uma carta ao CEO da Uber, Travis Kalanick na semana passada, exigindo que a empresa prestasse contas ao público por sua coleta de dados. A carta veio em resposta a uma polêmica recente em que um executivo do Uber ameaçou espionar e chantagear jornalistas que escreveram artigos desfavoráveis sobre a empresa. A ferramenta “God View” do Uber, que dá aos internos da empresa acesso ilimitado aos dados dos passageiros, também tem sido um motivo de preocupação nas últimas semanas.
O Cult of Mac pediu ao Uber um comentário sobre a coleta e transmissão dos dados que seus aplicativos Android e iOS estão realizando, mas não recebeu uma resposta.
Atualizar: O Uber forneceu alguns esclarecimentos para a coleta de dados da empresa, observando que o acesso geral é na verdade, um requisito do Google, que força os desenvolvedores Android a solicitar permissões de privacidade frente.
A porta-voz do Uber, Lara Sasken, divulgou a seguinte declaração ao Cult of Mac:
“O acesso a permissões, incluindo redes Wi-Fi e câmeras, está incluído para que os usuários possam experimentar a funcionalidade completa do aplicativo Uber. Isso não é exclusivo do Uber, e baixar o aplicativo Uber é obviamente opcional. ”
Recode observa que Lyft, concorrente do Uber, solicita acesso aos mesmos dados no Android. Ao contrário do iOS e do Windows, Desenvolvedores Android são encorajados a solicitar acesso a mais dados do usuário do que seus aplicativos realmente precisam. O aplicativo Uber no Android expõe algumas das fraquezas do sistema operacional móvel na privacidade em comparação com iOS e Windows, os quais permitem que os usuários recusem o acesso aos dados caso a caso.
Informações adicionais sobre as permissões do Android podem ser encontradas em Site do Uber aqui, mas nem todos os recursos são explicados.
Fonte: GironSec