翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
What?! 优步可记录iPhone用户的屏幕!
使用优步(Uber)app的iPhone用户要注意了,这款打车软件能偷偷记录用户屏幕!
安全研究员Will Strafach最近披露称苹果选择性地授予优步使用该公司最新推出的屏幕记录API功能,以帮助改进苹果手表上优步app的性能。这种屏幕记录API能让优步app即使在app关闭的情况下记录用户的屏幕信息,从而让优步访问所有通过iPhone屏幕显示的用户信息。
更糟糕的是,如果黑客能劫持优步软件,那么苹果的这一授权(entitlement)可能会让用户数据易受攻击。研究人员指出,其他第三方开发者似乎无法从苹果公司获取这种类型的授权。鉴于优步令人担忧的安全状况,他对苹果的授权感到好奇。
优步称将删除授权代码,但究竟是如何获得苹果授权的?
就在这则消息公开后不久,优步回应称将从iPhone app的代码库中删除即使在后台运行也会记录屏幕的授权代码。虽然目前尚不清楚优步的iPhone app何时开始拥有这个权限,以及拥有时间有多长,但优步的一名发言人在推特上指出该授权用于苹果手表app的一个旧版本,而且其获得授权的原因是之前苹果手表无法渲染地图。而随着苹果手表和优步app的升级,优步已无需这个授权。
该权限若被滥用可致用户隐私泄露
研究人员指出授权权限是"com.apple.private.allow-explicit-graphics-priority",它能让开发人员读取并写入iPhone的部分内存以访问设备的屏幕数据。研究人员还表示,几乎每款iPhone app都会通过授权启用一些功能如摄像头或苹果支付。然而,苹果向非苹果app授予“敏感”权限的情况并不常见,他在苹果官方应用商店中并未发现其它app拥有此类权限。
尽管尚未有证据表明优步滥用了这个权限,但这种特别权限可能会遭黑客利用从而执行一系列活动如记录密码、监控用户并获取其它个人用户数据等。
苹果尚未就此事置评。
并非优步首次陷入隐私漩涡
这并非优步首次陷入隐私漩涡中。去年年末,优步曾被指用户的打车行程结束后,APP仍然会追踪用户的地理位置。这还不够,优步也曾因为监控用户的电池寿命而饱受争议,因为优步发现用户在电量快用完时可能会支付更高额的打车费用。
文章原文链接:https://www.anquanke.com/post/id/86973