Claudio Tamburrino

Uber, l'app iOS minaccia la privacy?

Tra le linee del suo codice è stata individuata una funzione che potrebbe essere sfruttata per registrare quanto visualizzato sugli schermi degli utenti. Un entitlement utilizzabile solo su esplicito permesso di Apple

Roma - Nel codice dell'app di Uber per iOS vi sarebbe nascosto uno strumento per registrare gli schermi dei dispositivi su cui è installata.

A notarlo è stata la società di consulenza di sicurezzaSudo Security Group, che parla di un potente tool che permette la registrazione dello schermo dell'utente anche quando l'app è in funzione solo in background: tale codice, rappresenta un particolare "entitlement" (pezzo di codice quasi standard adottato dagli sviluppatori di app per diverse forme di interazione con i sistemi Apple) che avrebbe bisogno del permesso esplicito di Apple per essere adottato in un'app per la piattaforma: particolare sarebbe la situazione dell'app di Uber perché secondo gli osservatori è al momento l'unica nell'App Store ad avere questo speciale entitlement attivo.



Il problema risiederebbe nelle possibilità offerte da quello specifico codice, ma in effetti non nel suo effettivo utilizzo in tal senso: secondo i ricercatori ha l'obiettivo di migliorare la gestione della batteria per gli Apple Watch e la possibilità di sfruttare tali permessi per interferire nella privacy degli utenti è solo incidentale. Come spiega il ricercatore e jailbreaker di iPhone Luca Todesco: "essenzialmente dà il pieno controllo del framebuffer (la memoria buffer della scheda video), che contiene il colore di ogni pixel dello schermo", di fatto permettendone la riproduzione.
La questione si lega dunque ancora una volta alla fama di Uber, che non è nuova a sconfinamenti nella privacy dei propri utenti: scandalo era per esempio già stato sollevato con la scoperta della modalità God's View, strumento di accesso ai dati degli utenti da parte di alcuni suoi dipendenti che veniva utilizzato dal servizio di car sharing per spiare giornalisti, vip ed ex fidanzate dei propri dipendenti.

Insomma, oltre al rischio di possibili hacker che possano sfruttare le sue falle, la paura è che sia il soggetto meno affidabile per una tale possibilità, che potrebbe vedere alcuni dei suoi dipendenti comportarsi ancora male oppure decidere di vigilare sui comportamenti degli utenti che hanno installato anche l'app Lyft, per spiare ancora una volta le modalità di utilizzo del suo concorrente più diretto.

Da parte sua la startup, la cui guida dopo diversi scandali è passata di mano fino alla nomina del nuovo CEO Khosrowshahi, ha già annunciato che provvederà a rimuovere il tool che non è più in funzione.

Claudio Tamburrino
Notizie collegate
20 Commenti alla Notizia Uber, l'app iOS minaccia la privacy?
Ordina
  • molto più grave...che ci sia coinvolta la apple. Come scritto dalla società di consulenza...per attivare quella funzione ci vuole l'esplicito permesso della apple.....ma app Uber a parte....è quindi una funzione integrata nel sistema operativo....
    Controlla ogni singolo pixel...per risparmiare la batteria....hihihihihi....per fortuna che gli utenti della apple si bevono tutto.....
    non+autenticato
  • Le questioni di diritto sono affidate all'etica delle aziende?
    Grande!
    Le aziende sono entità psicopatiche per definizione, visto che antepongono il guadagno alle persone.
    E l'etica per uno psicopatico è solo una questione di convenienza; uno strumento manipolatorio.
    Grande società 'civile'...!
    non+autenticato
  • - Scritto da: menidus
    > Le questioni di diritto sono affidate all'etica
    > delle
    > aziende?
    > Grande!
    > Le aziende sono entità psicopatiche per
    > definizione, visto che antepongono il guadagno
    > alle
    > persone.
    > E l'etica per uno psicopatico è solo una
    > questione di convenienza; uno strumento
    > manipolatorio.
    > Grande società 'civile'...!

    Quoto...e ho paura che sarà sempre peggio
    non+autenticato
  • The entitlement first appeared in Uber’s app around the time of the original Watch launch in 2015, according to Strafach. Apple only gave developers about four months before the official release of the Watch to slim down their apps and make them work on the new device, so it’s conceivable that Apple granted the entitlement to Uber in order to meet that tight launch deadline
    (..)
    “Apple gave us this permission years because Apple Watch couldn’t handle our maps rendering. It’s not connected to anything in our current codebase,” Uber’s spokesperson explained
    (..)
    Uber’s spokesperson noted that the entitlement was active only in the 8.2 version of its app. A subsequent update from Apple fixed the memory issue for the Watch, and Uber says the entitlement has been dormant since then.
    non+autenticato
  • Mica tanto.

    > The entitlement first appeared in Uber’s app
    > around the time of the original Watch launch
    > in 2015,
    according to Strafach. Apple only
    > gave developers about four months before the
    > official release of the Watch to slim down their
    > apps and make them work on the new device, so
    > it’s conceivable that Apple granted the
    > entitlement to Uber in order to meet that tight
    > launch deadline
    > (..)

    In questo caso mi aspetterei che l'entitlement fosse stato concesso a tanti produttori, non solo a Uber, si è sbagliato il giornalista o ci sono altri motivi?

    > “Apple gave us this permission years because
    > Apple Watch couldn’t handle our maps
    > rendering
    . It’s not connected to anything in
    > our current codebase,” Uber’s spokesperson
    > explained (..)

    Se non ha a che fare con il codice attuale perché ce l'hanno ancora? Nel frattempo c'è stato lo scandalo del software che spia poliziotti ed ispettori e lo scandalo dei dipendenti che giocano con i dati dati raccolti dall'azienda, possibile che in questo lasso di tempo nessuno in Apple abbia pensato di togliergli l'accesso?


    > Uber’s spokesperson noted that the entitlement
    > was active only in the 8.2 version of its app. A
    > subsequent update from Apple fixed the memory
    > issue for the Watch, and Uber says the
    > entitlement has been dormant since
    > then.

    Che vuol dire dormiente? Disattivato ed impossibile da riabilitare o a disposizione del dipendente un po' più furbo.
    non+autenticato
  • Come è potuto succedere ? Nel controllatissimo store apple ? Impensabile !!!

    Poi c'era anche quest'altra cosettaA bocca aperta

    https://www.macitynet.it/bug-apfs-il-nuovo-file-sy.../
    non+autenticato
  • - Scritto da: FType
    > Come è potuto succedere ? Nel controllatissimo
    > store apple ? Impensabile
    >
    > Poi c'era anche quest'altra cosettaA bocca aperta
    >
    > https://www.macitynet.it/bug-apfs-il-nuovo-file-sy

    Il problema della password mostrata in chiaro nel campo dei suggerimenti sa tanto di modifica per fare un po' debug.

    Ma il problema metodologico, grosso come una caso, è che apparentemente in Apple non fanno unit test del software, neanche per cose critiche.
  • - Scritto da: bradipao
    > - Scritto da: FType
    > > Come è potuto succedere ? Nel controllatissimo
    > > store apple ? Impensabile
    > >
    > > Poi c'era anche quest'altra cosettaA bocca aperta
    > >
    > >
    > https://www.macitynet.it/bug-apfs-il-nuovo-file-sy
    >
    > Il problema della password mostrata in chiaro nel
    > campo dei suggerimenti sa tanto di modifica per
    > fare un po'
    > debug.
    >
    > Ma il problema metodologico, grosso come una
    > caso, è che apparentemente in Apple non fanno
    > unit test del software, neanche per cose
    > critiche.

    Che bisogno c'e' di testare cio' che nasce perfetto?

    E comunque, se anche ce ne fosse bisogno, chi e' che avrebbe le competenze per poter modificare cio' che e' it's magic?

    Quindi funziona cosi', perche' DEVE funzionare cosi'. E' il modo migliore per funzionare.

    Cosi' abbiamo detto a Cupertino e cosi' andate a rispondere nei forum dei detrattori.

    Amen.
  • Ragazzi se lo chiede che problema c'è?

    Dai adesso non esageriamo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)