В последнее время Uber сталкивается с невероятным количеством споров, но ситуация с сервисом совместного использования пассажиров станет еще хуже. Исследователь безопасности только что перепроектировал код Android-приложения Uber и сделал поразительное открытие: это «буквально вредоносное ПО».
Изучив код приложения, GironSec обнаружил Приложение Uber «звонит домой» и отправляет данные обратно в Uber. Однако это не типичные данные приложения. Uber имеет доступ ко всему SMSLog пользователей, даже если приложение никогда не запрашивает разрешения. Он также получает доступ к истории вызовов, используемым соединениям Wi-Fi, местоположениям GPS и всем возможным типам идентификаторов устройств.
Приложение даже проверяет Wi-Fi вашего соседа и получает информацию о возможностях маршрутизатора, частоте и SSID. Новости об уязвимости приложения впервые были опубликованы в Hacker News с очаровательным вступлением: «TL; DR: приложение Uber для Android буквально вредоносно. » Один разработчик, комментируя это разоблачение, сказал, что у Google нет «никаких причин не немедленно удалить это приложение из магазина навсегда и запретить любому разработчику, который его загрузил. Вероятно, должен быть возбужден судебный иск ».
Вот полный список всех данных, которые Uber собирает через свое приложение для Android (мы проверяем, работает ли версия для iOS таким же образом):
– Журнал учетных записей (Эл. адрес)
– Действия в приложении (Имя, Имя пакета, Номер действия процесса, Идентификатор обработки)
– Использование данных приложения (Размер кеша, размер кода, размер данных, имя, имя пакета)
– Установить приложение (установлен в, имя, имя пакета, включены неизвестные источники, код версии, имя версии)
– Аккумулятор (состояние, уровень, подключен, присутствует, шкала, состояние, технология, температура, напряжение)
– Устройство Информация (плата, марка, версия сборки, номер ячейки, устройство, тип устройства, дисплей, отпечаток пальца, IP, MAC адрес, производитель, модель, платформа ОС, продукт, код SDK, общее дисковое пространство, неизвестные источники включено)
– GPS (точность, высота, широта, долгота, поставщик, скорость)
– MMS (с номера, MMS на, типа MMS, сервисного номера, на номер)
– NetData (полученные байты, отправленные байты, тип соединения, тип интерфейса)
– Телефонный звонок (длительность звонка, звонок, с номера, тип звонка, на номер)
– SMS (с номера, сервисного номера, SMS на, типа SMS, на номер)
– ТелефонияИнфо (ID вышки сотовой связи, широта вышки сотовой связи, долгота вышки сотовой связи, IMEI, код страны ISO, код города, MEID, мобильный код страны, код мобильной сети, имя сети, тип сети, тип телефона, серийный номер SIM-карты, состояние SIM-карты, абонент Я БЫ)
– Wi-Fi (BSSID, IP, скорость соединения, MAC-адрес, идентификатор сети, RSSI, SSID)
– Wi-FiСоседи (BSSID, возможности, частота, уровень, SSID)
– Проверка корня (код статуса root, код причины статуса root, версия root, версия файла sig)
– Информация о вредоносном ПО (достоверность алгоритма, список приложений, обнаруженное вредоносное ПО, версия SDK вредоносного ПО, список пакетов, код причины, список услуг, версия sigfile)
У Uber может быть законная причина использовать большую часть этой информации в приложении, например, для обнаружения мошенничества или сбора разведданных. Проблема в том, что информация отправляется и собирается серверами Uber без ведома и разрешения пользователей.
Сенатор Аль Франкен отправил письмо генеральному директору Uber Трэвису Каланику на прошлой неделе потребовал от компании предоставить общественности отчет для сбора данных. Письмо явилось ответом на недавний спор, в котором руководитель Uber пригрозил шпионить и шантажировать журналистов, которые писали неблагоприятные статьи о компании. Инструмент Uber «God View», который предоставляет инсайдерам компании неограниченный доступ к данным о пассажирах, также вызывает обеспокоенность в последние недели.
Cult of Mac попросили Uber прокомментировать сбор и передачу данных, которые выполняют его приложения для Android и iOS, но не получили ответа.
Обновлять: Uber предоставил некоторые разъяснения по сбору данных компании, отметив, что общий доступ на самом деле требование от Google, которое заставляет разработчиков Android запрашивать разрешения на конфиденциальность передний.
Пресс-секретарь Uber Лара Саскен опубликовала для Cult of Mac следующее заявление:
«Доступ к разрешениям, включая сети Wi-Fi и камеру, включен, чтобы пользователи могли пользоваться всеми функциями приложения Uber. Это не уникально для Uber, и загрузка приложения Uber, конечно же, не является обязательной ».
Recode отмечает, что Lyft, конкурент Uber, запрашивает доступ к тем же данным на Android. В отличие от iOS и Windows, Разработчикам Android рекомендуется запрашивать доступ к большему количеству пользовательских данных, чем действительно нужно их приложениям. Приложение Uber для Android демонстрирует некоторые слабые стороны мобильной операционной системы с точки зрения конфиденциальности по сравнению с iOS и Windows, которые позволяют пользователям отказывать в доступе к данным в каждом конкретном случае.
Дополнительную информацию о разрешениях Android можно найти на Сайт Uber здесь, но не каждая особенность объясняется.
Источник: GironSec