Uber ถูกวิพากษ์วิจารณ์อย่างไร้สาระเมื่อเร็ว ๆ นี้ แต่สิ่งต่าง ๆ กำลังจะแย่ลงไปอีกสำหรับบริการแชร์รถ นักวิจัยด้านความปลอดภัยเพิ่งทำวิศวกรรมย้อนกลับรหัสของแอพ Android ของ Uber และค้นพบที่น่าตกใจ: มันคือ "มัลแวร์อย่างแท้จริง"
เมื่อขุดเข้าไปในโค้ดของแอป GironSec ค้นพบ แอพ Uber “โทรกลับบ้าน” และส่งข้อมูลกลับ ถึงอูเบอร์ นี่ไม่ใช่ข้อมูลแอปทั่วไปแม้ว่า Uber มีสิทธิ์เข้าถึง SMSLog ทั้งหมดของผู้ใช้ แม้ว่าแอปจะไม่ขออนุญาตก็ตาม นอกจากนี้ยังเข้าถึงประวัติการโทร การเชื่อมต่อ Wi-Fi ที่ใช้ ตำแหน่ง GPS และ ID อุปกรณ์ทุกประเภทที่เป็นไปได้
แอปยังตรวจสอบ Wi-Fi ของเพื่อนบ้านและดึงข้อมูลเกี่ยวกับความสามารถ ความถี่ และ SSID ของเราเตอร์ ข่าวช่องโหว่ของแอปถูกโพสต์ครั้งแรกบน Hacker News พร้อมอินโทรอันมีเสน่ห์ “TLDR: แอพ Android ของ Uber เป็นมัลแวร์อย่างแท้จริง” นักพัฒนาซอฟต์แวร์รายหนึ่งแสดงความคิดเห็นเกี่ยวกับการเปิดเผยดังกล่าวว่า "ไม่มีเหตุผลใดๆ ที่ Google จะไม่นำแอปนี้ออกจากสโตร์อย่างถาวรในทันทีและห้ามไม่ให้นักพัฒนาซอฟต์แวร์อัปโหลดแอปนี้ น่าจะมีการดำเนินการทางกฎหมาย”
นี่คือรายการข้อมูลทั้งหมดที่ Uber รวบรวมผ่านแอป Android (เรากำลังตรวจสอบเพื่อดูว่าเวอร์ชัน iOS ทำงานในลักษณะเดียวกันหรือไม่):
– บันทึกบัญชี (อีเมล)
– กิจกรรมแอพ (ชื่อ, ชื่อแพ็คเกจ, หมายเลขโปรเซสของกิจกรรม, ID ที่ประมวลผล)
– การใช้ข้อมูลแอป (ขนาดแคช ขนาดรหัส ขนาดข้อมูล ชื่อ ชื่อแพ็คเกจ)
– การติดตั้งแอพ (ติดตั้งที่, ชื่อ, ชื่อแพ็คเกจ, เปิดใช้งานแหล่งที่ไม่รู้จัก, รหัสเวอร์ชัน, ชื่อเวอร์ชัน)
– แบตเตอรี่ (สุขภาพ ระดับ เสียบ ปัจจุบัน มาตราส่วน สถานะ เทคโนโลยี อุณหภูมิ แรงดันไฟฟ้า)
– อุปกรณ์ ข้อมูล (บอร์ด, ยี่ห้อ, รุ่นบิลด์, หมายเลขเซลล์, อุปกรณ์, ประเภทอุปกรณ์, จอแสดงผล, ลายนิ้วมือ, IP, MAC ที่อยู่ ผู้ผลิต รุ่น แพลตฟอร์ม OS ผลิตภัณฑ์ รหัส SDK พื้นที่ดิสก์ทั้งหมด ไม่ทราบแหล่งที่มา เปิดใช้งาน)
– จีพีเอส (ความแม่นยำ ความสูง ละติจูด ลองจิจูด ผู้ให้บริการ ความเร็ว)
– MMS (จากเบอร์, MMS ที่, ประเภท MMS, เบอร์บริการ, ถึง เบอร์)
– NetData (ไบต์ที่ได้รับ, ไบต์ที่ส่ง, ประเภทการเชื่อมต่อ, ประเภทอินเทอร์เฟซ)
– สายเข้า (ระยะเวลาโทร, โทรที่, จากหมายเลข, ประเภทการโทร, ถึงหมายเลข)
– ข้อความ (จากเบอร์, เบอร์บริการ, SMS ที่, ประเภท SMS, ถึงเบอร์)
– ข้อมูลโทรศัพท์ (ID หอเซลล์, ละติจูดของหอเซลล์, ลองจิจูดของหอคอยเซลล์, IMEI, รหัสประเทศ ISO, รหัสพื้นที่ท้องถิ่น, MEID, มือถือ รหัสประเทศ, รหัสเครือข่ายมือถือ, ชื่อเครือข่าย, ประเภทเครือข่าย, ประเภทโทรศัพท์, หมายเลขซีเรียลของซิม, สถานะซิม, สมาชิก NS)
– การเชื่อมต่อ Wifi (BSSID, IP, ความเร็วลิงค์, MAC addr, ID เครือข่าย, RSSI, SSID)
– Wifiเพื่อนบ้าน (BSSID ความสามารถ ความถี่ ระดับ SSID)
– ตรวจสอบราก (รหัสสถานะรูท, รหัสเหตุผลของสถานะรูท, เวอร์ชันรูท, เวอร์ชันไฟล์ sig)
– ข้อมูลมัลแวร์ (ความมั่นใจของอัลกอริทึม, รายการแอป, มัลแวร์ที่พบ, เวอร์ชัน SDK ของมัลแวร์, รายการแพ็คเกจ, รหัสเหตุผล, รายการบริการ, เวอร์ชัน sigfile)
Uber อาจมีเหตุผลที่ถูกต้องในการใช้ข้อมูลนี้ส่วนใหญ่ในแอป อาจเป็นเพื่อการตรวจจับการฉ้อโกงหรือเครื่องมือรวบรวมข้อมูล ปัญหาคือข้อมูลถูกส่งและเก็บรวบรวมโดยเซิร์ฟเวอร์ของ Uber โดยที่ผู้ใช้ไม่ทราบหรือไม่ได้รับอนุญาต
ส.ว. อัล แฟรงเกน ส่งจดหมายถึง Uber CEO Travis Kalanick เมื่อสัปดาห์ที่แล้วเรียกร้องให้บัญชีบริษัทต่อสาธารณะเพื่อรวบรวมข้อมูล จดหมายดังกล่าวมีขึ้นเพื่อตอบสนองต่อข้อโต้แย้งเมื่อเร็วๆ นี้ ซึ่งผู้บริหาร Uber ขู่ว่าจะสอดแนมและนักข่าวแบล็กเมล์ที่เขียนบทความที่ไม่เอื้ออำนวยเกี่ยวกับบริษัท เครื่องมือ "God View" ของ Uber ซึ่งช่วยให้คนในบริษัทเข้าถึงข้อมูลของผู้ขับขี่ได้ไม่จำกัด ยังเป็นสาเหตุของความกังวลในช่วงไม่กี่สัปดาห์ที่ผ่านมา
Cult of Mac ขอให้ Uber แสดงความคิดเห็นเกี่ยวกับการรวบรวมและการส่งข้อมูลที่แอป Android และ iOS ทำงาน แต่ยังไม่ได้รับการตอบกลับ
อัปเดต: Uber ได้ให้ความกระจ่างแก่การรวบรวมข้อมูลของบริษัท โดยสังเกตว่าการเข้าถึงแบบครอบคลุมคือ อันที่จริงเป็นข้อกำหนดจาก Google ซึ่งบังคับให้นักพัฒนา Android ขอสิทธิ์ความเป็นส่วนตัวขึ้น ด้านหน้า.
Lara Sasken โฆษกหญิงของ Uber ออกแถลงการณ์ต่อไปนี้ต่อ Cult of Mac:
“รวมการเข้าถึงการอนุญาตรวมถึงเครือข่าย Wifi และกล้องเพื่อให้ผู้ใช้สามารถสัมผัสประสบการณ์การทำงานเต็มรูปแบบของแอพ Uber นี่ไม่ใช่กรณีเฉพาะของ Uber และการดาวน์โหลดแอป Uber ก็เป็นทางเลือกที่แน่นอน”
บันทึก Recode ว่า Lyft คู่แข่ง Uber ขอเข้าถึงข้อมูลเดียวกันบน Android ต่างจาก iOS และ Windows ขอแนะนำให้นักพัฒนา Android ขอเข้าถึง ข้อมูลผู้ใช้มากกว่าที่แอปต้องการจริงๆ แอพ Uber บน Android เผยให้เห็นจุดอ่อนของระบบปฏิบัติการมือถือในด้านความเป็นส่วนตัวเมื่อเทียบกับ iOS และ Windows ซึ่งทั้งสองอย่างนี้อนุญาตให้ผู้ใช้ปฏิเสธการเข้าถึงข้อมูลเป็นรายกรณี
ข้อมูลเพิ่มเติมเกี่ยวกับการอนุญาต Android สามารถพบได้บน เว็บไซต์ของ Uber ที่นี่ แต่ไม่ได้อธิบายทุกคุณสมบัติ
แหล่งที่มา: GironSec