Останнім часом Uber оминає смішна кількість суперечок, але ситуація стане ще гіршою для сервісу спільного користування. Дослідник безпеки щойно змінив код програми Uber для Android і зробив вражаюче відкриття: це "буквально шкідливе програмне забезпечення".
Копаючись у коді програми, GironSec виявив Додаток Uber "дзвонить додому" і надсилає дані назад до Uber. Однак це не типові дані програми. Uber має доступ до всього SMSLog користувача, навіть якщо програма ніколи не запитує дозволу. Він також отримує доступ до історії дзвінків, використовуваних з'єднань Wi-Fi, місцезнаходжень GPS та будь-якого можливого ідентифікатора пристрою.
Додаток навіть перевіряє Wi-Fi вашого сусіда та отримує інформацію про можливості, частоту та SSID маршрутизатора. Новина про вразливість програми була вперше опублікована в Hacker News з чарівним вступом "TLDR: Програма Uber для Android - це буквально шкідлива програма. ” Один розробник, коментуючи викриття, сказав, що «немає жодних причин для Google негайно видалити цей додаток із магазину назавжди та заборонити розробникам, які його завантажили. Напевно, повинні бути подані судові дії ».
Ось повний список усіх даних, які Uber збирає за допомогою програми Android (ми перевіряємо, чи працює версія iOS однаково):
– Журнал облікових записів (Електронна пошта)
– Історія додатків (Назва, Назва пакета, Номер процесу, Ідентифікатор обробленого)
– Використання даних програми (Розмір кешу, розмір коду, розмір даних, ім'я, назва пакета)
– Встановлення програми (встановлено за адресою, ім'я, назва пакета, включені невідомі джерела, код версії, назва версії)
– Акумулятор (здоров'я, рівень, підключено, присутній, масштаб, стан, технологія, температура, напруга)
– Пристрій Інформація (плата, бренд, версія збірки, номер комірки, пристрій, тип пристрою, дисплей, відбиток пальця, IP, MAC адреса, виробник, модель, платформа ОС, продукт, код SDK, загальний простір на диску, невідомі джерела увімкнено)
– GPS (точність, висота, широта, довгота, провайдер, швидкість)
– MMS (від номера, MMS на, тип MMS, номер послуги, до номера)
– NetData (отримані байти, відправлені байти, тип з'єднання, тип інтерфейсу)
– Телефонний дзвінок (тривалість дзвінка, з, на номер, тип телефонного дзвінка на номер)
– СМС (від номера, номера послуги, SMS на, тип SMS, до номера)
– ТелефоніяІнфо (ідентифікатор стільникової вежі, широта стільникової вежі, довгота стільникової вежі, IMEI, код країни ISO, код місцевої зони, MEID, мобільний код країни, код мобільної мережі, назва мережі, тип мережі, тип телефону, серійний номер SIM, стан SIM, абонент Ідентифікатор)
– WifiConnection (BSSID, IP, швидкість посилання, MAC -адреса, ідентифікатор мережі, RSSI, SSID)
– WifiNeighbors (BSSID, можливості, частота, рівень, SSID)
– Перевірка коренів (код статусу кореня, код причини статусу кореня, версія кореня, версія файлу sig)
– Інформація про шкідливе програмне забезпечення (достовірність алгоритму, список програм, знайдене шкідливе програмне забезпечення, версія SDK для шкідливого програмного забезпечення, список пакетів, код причини, список послуг, версія sigfile)
У Uber, можливо, є законна причина використовувати більшість цієї інформації в додатку, можливо, для виявлення шахрайства або інструменту збору інформації. Проблема в тому, що інформація надсилається та збирається серверами Uber без відома або дозволу користувачів.
Старший Аль Франкен надіслав листа генеральному директору Uber Тревісу Каланіку минулого тижня вимагав від громадськості облікового запису компанії для збору даних. Лист став відповіддю на нещодавню суперечку, коли керівник Uber погрожував шпигувати та шантажувати журналістів, які писали несприятливі статті про компанію. Інструмент Uber "Погляд на Бога", який надає інсайдерам компанії необмежений доступ до даних гонщиків, також викликав занепокоєння останніми тижнями.
Культ Mac попросив Uber прокоментувати збір та передачу даних, які виконують його програми Android та iOS, але не отримав відповіді.
Оновлення: Uber надав деякі роз’яснення щодо збору даних компанії, зазначивши, що доступ є загальним насправді є вимогою від Google, яка змушує розробників Android просити дозволи на конфіденційність передній.
Прес -секретар Uber Лара Саскен оприлюднила таку заяву для Cult of Mac:
"Доступ до дозволів, включаючи мережі Wi -Fi та камеру, включено, щоб користувачі могли відчути повний функціонал програми Uber. Це не є унікальним явищем для Uber, і завантаження програми Uber, звичайно, необов’язково ».
Recode зазначає, що конкурент Uber Lyft запитує доступ до тих самих даних на Android. На відміну від iOS та Windows, Розробникам Android пропонується запитувати доступ отримувати більше даних користувачів, ніж їхнім програмам насправді потрібно. Додаток Uber на Android виявляє певну слабкість мобільної операційної системи в конфіденційності порівняно з iOS та Windows, обидві з яких дозволяють користувачам відмовляти у доступі до даних у кожному конкретному випадку.
Додаткову інформацію про дозволи Android можна знайти на Сайт Uber тут, але не кожна функція пояснюється.
Джерело: GironSec
