Для улучшения взаимодействия с умными часами, Apple дала Uber полный доступ к экрану смартфона — даже тогда, когда приложение работало в фоновом режиме.
После того, как исследователи обнаружили этот функционал, Uber заявил, что он уже не используется и будет удален из приложения.
Уилл Страфач из udo Security Group говорит, что для работы такой функции необходимо было исключительное разрешение Apple (entitlement), просто так получить такой доступ было невозможно: «Похоже, что ни один другой сторонний разработчик не смог получить от Apple разрешение такого рода. Учитывая прошлые проблемы с конфиденциальностью в Uber, мне очень любопытно, как они убедили Apple пойти на это».
«По сути, это дает вам полный контроль над буфером кадров, в котором определен цвет каждого пикселя экрана. Поэтому они (потенциально) могут рисовать на нем или записывать все происходящее», — объясняет Лука Тодеско, исследователь безопасности. «Это может потенциально привести к краже паролей и другим проблемам для пользователей».
С другой стороны, Apple могла ограничить использование этого функционала на уровне песочницы в самой операционной системе.
Сам Uber заявляет, что слежение использовалось исключительно для улучшения работы с Apple Watch – в частности для «тяжелого» рендеринга карт на устройстве, чего первая версия часов сама делать не могла (впервые такие права выдали в 2015 году, приложение Uber показывали во время презентации Apple Watch и, видимо, по другому реализовать функцию за короткое время было невозможно). После выхода новой версии функция доступа к буферу кадров больше не требуется и API уберут, говорит Uber.
“Некоторые равнее”: Blizzard пустили в обход песочницы в iOS и Mac OS