מומחי אבטחה גילו כי לאפליקציית Uber ל-iOS קיימת הרשאה המאפשרת לה לצלם את מסך האייפון בכל עת, גם כשהאפליקציה סגורה, וללא צורך באישורכם.
היכולת להקליט את מסך המכשיר מגיעה כחלק מחתיכת קוד המשמשת להתממשקות עם שירותי אפל השונים. במקרה הזה, מטרת הקוד נועדה לאפשר יכול ניהול זיכרון טובה יותר בהתממשקות עם השעון החכם של החברה. ההרשאה הרגישה, כך אומר וויל סטראפק (Will Strafach) – מומחה אבטחה ומנכ"ל Sudo Security Group, לא ניתנת בקלות על ידי אפל ולראייה, אף אפליקציית צד ג' לא קיבלה את ההרשאה מלבד Uber, מה שגרם למומחים לתהות איך שכנעה אפליקציית הנסיעות הפופולרית את הענקית מקופרטינו לתת לה את הגישה.
I wonder why Uber (appears to?) have this entitlement. new option in dev portal somewhere? https://t.co/VbknpQTlxV
— Will Strafach (@chronic) October 3, 2017
אף על פי שמטרת ההרשאה שונה ממה שהתכוונו באפל, אי אפשר להתעלם מהחשש שהאפליקצייה, או גרוע מכך – האקר שמשתמש באפליקצייה כפלטפורמה, יוכלו להקליט את המסך בכל עת שיחפצו ובכך לאחסן מידע רגיש, כמו כרטיסי אשראי וסיסמאות, במקום לא מאובטח ולבצע שימוש לרעה.
מאובר נמסר כי השימוש באפשרות הזו שימש את האפליקצייה למשהו הרבה פחות זדוני ומחושב ולמעשה באמת נועד לשפר את הממשק באפליקציה בין האייפון לשעון החכם.
ההרשאה שימשה את החברה באפליקצייה הראשונית שלה אל מול השעון החכם, כאשר זה התקשה להתמודד עם יכולת העיבוד של המפות באפליקציית Uber. אפל, כך מתברר, שיחררה את הגישה למפתחים עבור השעון החדש רק ארבעה חודשים לפני השקתו, מה שהקשה על Uber לעמוד בזמנים כדי לבצע תאימות מלאה. ההרשאה שקיבלה החברה מאפל איפשרה להם לעמוד בלוח הזמנים הנדרש וזו אף כיבדה אותם בהצגת הדמו של האפליקצייה בזמן אירוע הKeynote בחודש מארס 2015.
בעקבות הפרסום, דובר Uber מסר כי היכולת הייתה פעילה רק בגרסה 8.2 של האפליקצייה ומאז השקת השעון הראשון, אפל ו-Uber הוציאו מספר עדכונים שפתרו את בעיית הזיכרון והעיבוד בשעון וההרשאה כבר לא בשימוש ובקרוב אף תוצא מקוד האפליקצייה. סטראפק אישר שעד היום לא נמצא שום שימוש לרעה של ההרשאה הרגישה.
אבל אם אתם שואלים אותנו, דווקא למנוח ומנכ״ל אפל לשעבר סטיב ג׳ובס, יש מה לומר עד היום בנושא, אבטחת המידע של המשתמש הוא הדבר הכי חשוב שיש:
https://youtu.be/pqrCk7gpTsA
Loading ...