В iOS-приложении Uber нашлась недокументированная функция, позволяющая перехватывать конфиденциальную информацию и сохранять скриншоты с экрана iPhone — причем даже когда программа работает в фоновом режиме. Как сообщил эксперт по компьютерной безопасности и глава Sudo Security Group Уилл Стрефач, такой инструмент сервису онлайн-такси предоставила сама Apple, чтобы улучшить управление памятью на "умных" часах Apple Watch.
Речь идет об самом высоком уровне доступа, позволяющим разработчикам делать что угодно, в том числе рассылать push-уведомления и взаимодействовать с такими системами, как iCloud и Apple Pay. По словам Стрефача, в App Store ему не удалось обнаружить ни одного другого приложения с суперправами, как у Uber.
Это означает, что инженеры Uber (или злоумышленники, проникшие в систему сервиса) могли тайно подсматривать за экраном владельца "айфона", собирать пароли и другие персональные данные. Впервые приложение Uber наделили суперправами в 2015 году, с момента релиза Apple Watch 1-го поколения, сказал эксперт.
В Uber заявляют, что эта функция "использовалась в старой версии программы для Apple Watch, в частности для того, чтобы обрабатывать карты на вашем телефоне и отсылать эту информацию обратно на часы". "Эта зависимость была удалена с предыдущими улучшениями для операционной системы Apple и нашего приложения, — пишет Gizmodo со ссылкой на представителей компании. — Поэтому мы удаляем этот API из нашей кодовой базы для iOS".
Источник: Gizmodo
