Приложение Uber для iPhone словили на шпионаже за пользователями

В дополнении Uber для мобильных телефонов обнаружили скрытую функцию. Профессионалов удивляет, как «яблочный производитель» мог так необдуманно предоставить разрешение на доступ к информации без ведома пользователя устройства: настройка push-уведомлений либо взаимодействие с iCloud либо Apple Pay доступны для всех разработчиков, а считывание данных с дисплеев iPhone есть только в Uber.

Этот инструмент сервис получил от компании Apple в текущем году.

Но профессионалов насторожил один момент.

Специалисты не понимают, как компания Apple, создавшая мобильные телефоны iPhone, позволила Uber использовать это приложение. Тщательно изучив идентичные приложения, профессионалы по безопасности одной из крупнейших компаний Sudo Security Group не обнаружили в них похожей функции. Todesco объясняет, что разрешение, известное как «com.apple.private.allow-explicit-graphics-priority», дает возможность разработчику читать либо записывать в фреймбуфер iPhone часть памяти телефона, которая содержит пиксельные отображаемые данные. А вот считывание данных с iPhone — нет. По его словам, функция была добавлена для размеренной работы Apple Watch. Так что, если он желает добавить в приложение поддержку Apple Pay, то должен получить разрешение на доступ к API, отвечающим за это.