セキュリティ研究者らは最近、Uber のアプリが Apple Watch アプリとの相互運用性を向上させる目的で、強力な API を活用してユーザーの iPhone 画面を記録していることを発見しました。これは Apple だけが許可できる権限です。
セキュリティ研究者のウィル・ストラファック氏によると、ウーバーは権利を利用したという。それは許可されましたそのアプリは、アプリがバックグラウンドで実行されている間でもユーザーの画面情報を記録すると報告されていますギズモード。
資格は、ハードウェアおよびソフトウェアの機能へのアクセスを許可する基本的なコードですが、特定の高レベルの資格は通常、ファーストパーティ アプリに制限されます。これらのアクセス許可はコード内に「プライベート」という用語が追加されており、機密性の高いユーザー データへのアクセスを許可するため、非常に厳重に保護されています。
Strafach氏は、AppleがUberに特定の権利を発行するのは非常にまれであり、Apple独自のアプリ以外にApp Storeに同じ機能の恩恵を受けるアプリはないようだと指摘した。
Uber は、Apple が権利の使用を明示的に許可し、その後 Apple Watch のメモリ管理を改善するために使用されたと主張しています。具体的には、Apple のウェアラブルの古いバージョンでは、Uber のソフトウェアの主な機能である、ペアリングされた iPhone の助けがなければ地図をレンダリングできませんでした。
への声明でギズモード, Uberは、この権限は今後使用されず、アプリから削除されると述べた。
「これは古いバージョンの Apple Watch アプリに使用されており、特に携帯電話上でマップをレンダリングするという重労働を実行し、そのレンダリングを Watch アプリに送信するために使用されていました」と Uber の広報担当者は述べています。 「この依存関係は、Apple の OS とアプリの以前の改良により削除されました。そのため、この API を iOS コードベースから削除します。」
この権利が設定されていると、Uber や凶悪な攻撃者がユーザーの知らないうちにユーザーの iPhone を監視し、パスワードやその他の個人情報が漏洩する可能性があります。
研究者のルカ・トデスコ氏は、「基本的に、画面の各ピクセルの色を含むフレームバッファを完全に制御できる。そのため、画面を描画したり記録したりできる可能性がある」と述べた。 「パスワードなどが盗まれる可能性があります。」
Strafach 氏は、覗き見ツールとしての可能性があるにもかかわらず、この許可が悪意を持って使用されたという証拠はないと指摘しています。
Strafach 氏によると、Apple が 2015 年に初めて Apple Watch を発売したときに、この権利が最初に統合されました。同報告書によると、このウェアラブルがデビューしたとき、開発者にはこの小さなデバイスで機能するようにアプリを作り直すという厳しい期限が与えられており、タイトルを予定通りにリリースするための便宜としてアップルがウーバーに権利を与えたことを示唆しているという。
Apple が特別イベントで Watch を発表したとき2014年にでは、Apple 独自のマップを含む多数のアプリがマッピング アセットとともに披露されました。 Uber のアプリは、Apple の 2015 年 3 月の基調講演で、Apple の技術担当副社長である Kevin Lynch によってデモされた数少ないアプリの 1 つでした。
ライドシェアリング会社として、Uber が機密性の高い権利にアクセスできることは驚く人もいるかもしれない捕まったアプリが UUID の収集を通じて個々のデバイスを追跡していることが判明し、App Store のガイドラインに違反しました。当時の最高経営責任者(CEO)トラビス・カラニック氏はアップル本社に呼び出され、ティム・クックCEOから叱責を受け、追跡機能を削除しなければUberのアプリをApp Storeから削除すると脅迫されたと伝えられている。