Uber宣布将取消苹果之前给予的特殊授权

威锋网

Uber宣布将取消苹果之前给予的特殊授权

投稿by:dukeliang来源:威锋网 PostTime:2017-10-06 12:03:08

  Uber 的安全通信主管今天宣布,该公司将移除其 iOS 应用的访问权限,该应用可能会让该公司在不知情的情况下记录用户的信息。安全研究人员注意到,优步获得了苹果的这些私人 API,这是这家专注于安全的公司采取的前所未有的举动。

  在 iOS 中,应用程序开发人员使用权限来访问不同的 API。例如,iCloud 和 Apple Pay 的 API 使用需要在应用程序中使用特定的权限。

  使用授权来进行控制的原因是,保证 iOS 应用只能访问他们绝对需要的东西。正如苹果所说,“通过小心地启用你所需要的资源访问权限,如果恶意代码成功地利用了你的应用,你就能将潜在的损害最小化。”

  这就是 Uber 的 iOS 应用引起了一些人的关注的原因。

  当 Apple Watch 首次发布时,苹果向 Uber 提供了一种“授权”,可以运行一种特殊的 API,从而改善这款腕戴设备上的 Uber 应用的性能。

  今天,安全研究人员告诉媒体,即使 Uber 应用只是在后台运行,Uber 也可以用它来记录用户的 iPhone 屏幕信息。

  优步在一份声明中表示,这一权利被用于旧版 Apple Watch 应用,并被提供给了 Uber,因为最初的 Apple Watch 无法呈现地图。

  Uber 的一位发言人对媒体表示:“它被用于苹果手表应用的早期版本,尤其是当需要在手机上进行渲染地图的繁重工作时,能及时把渲染结果发送给手表应用。”他说,早期的苹果手表无法独自处理这一过程。苹果的操作系统和应用经过不断的改进,消除了这种依赖性。因此,他们正在从 iOS 代码库中移除这个 API。

  根据安全研究人员 Will Strafach 的说法,苹果并不经常提供这样的特殊授权。这也引起了人们对这个问题的关注。Strafach 说,他在 App Store 上没有看到任何其他应用可以获得像 Uber 应用这样的许可。
  
  另一位安全研究员 Luca Todesco 则表示,没有证据表明 Uber 滥用了这一权利,但它可以非常确定用来监控 iPhone 的活动,记录密码和其他个人信息。实际上,它让你可以完全控制 framebuffer,它包含了屏幕每个像素的颜色。因此,他们可以潜在地绘制或记录屏幕。

  Uber 表示,这款应用已经不再与该公司当前的代码库有任何联系,但用户可能会很谨慎,因为 Uber 应用也存在其他隐私问题。去年晚些时候,用户曾抱怨称,这款应用在使用打车服务后的几天甚至几周时间里似乎都在追踪用户,这迫使该公司做出了解释。

  苹果首席执行官蒂姆•库克甚至威胁要将这款应用从 app Store 中移除,因为该应用被发现是在秘密录制 iphone 的 UDID,以便在优步应用被删除后再次识别它们。


© Joyslink Inc.