Apple предоставлял Uber «беспрецедентный» доступ к секретному бэкдору

Россияне получили серебро за разработку систем для беспилотников
21.12.2017
Uber и Lyft разбили мечты владельцев медальонов
11.01.2018
Apple предоставлял Uber «беспрецедентный» доступ к секретному бэкдору

6 Октября 2017


Как сообщает Business Insider, приложение Uber для iPhone имеет секретный бэкдор ((от англ. back door — «чёрный ход», буквально «задняя дверь») — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом, — примечание TaxiLife)  для всех функций Apple, что потенциально позволяет службе проката записывать экран пользователя и получать доступ к другой личной информации без его ведома. 


Существование доступа Uber к специальным функциям iPhone не раскрывается ни в одной информации, касающейся потребителя, включенной в приложение Uber. То есть, Apple даёт компании прямой доступ ко всем функциям устройства. И это несмотря на то, что Apple почти всегда удерживает их за пределами доступа к ним сторонних компаний. 


Хотя пока нет никаких прямых доказательств того, что Uber использовал этот доступ к возможностям iPhone, раскрытие доступа приложения к привилегированному коду Apple вызывает серьёзные вопросы к компании, которая уже находится под следствием из-за множества спорных деловых практик.  


Uber сообщил Business Insider, что этот код в настоящее время не используется и по существу является следствием более ранней версии приложения для Apple Watch, но этот факт инициировал тревожные звонки в среде экспертов.  


«Предоставление такого деликатного права третьей стороне является беспрецедентным. Насколько я могу судить, никаким другим разработчикам приложений не удались убедить Apple в необходимости предоставления им права, чтобы их приложение могло использовать определенные функциональные возможности привилегированной системы», — говорит Вилл Страфах, исследователь в области безопасности, который обнаружил эту ситуацию и рассказал о ней Business Insider.  


Вот как это работает 


Почти каждое приложение для iPhone использует так называемое «право» — основной способ программного обеспечения для включения таких функций, как камера или Apple Pay (система мобильных платежей от корпорации Apple, примечание TaxiLife) на iPhone и iPad. Большинство из них можно легко найти у сторонних разработчиков приложений и официально подключить. 


Но есть определенные права, которые используются Apple только в том случае, если у компании существует плохая интеграция с iPhone. Эти файлы помечены именами, начинающимися с «com.apple.private», и они считаются настолько чувствительными, что любое стороннее приложение, найденное с их использованием, отклоняется из App Store.


После изучения кода для приложения Uber, Страфах обнаружил, что оно использует право, называемое «com.apple.private.allow-explicit-graphics-priority». 


«Очень странно видеть, что Uber является единственным приложением (я проверил десятки тысяч других приложений, используя внутренний набор данных моей компании, полученный из App Store). Кроме того, собственные приложения Apple предоставили мне доступ к этим чувствительным правам», — рассказывает Страфах по электронной почте. Другой человек сказал, что ни одно из 200 лучших бесплатных приложений не использует частные права Apple.  


Uber ответил, что Apple дала ему разрешение на использование частного права, которое оно использовало для более ранней версии приложения для Apple Watch, для отображения карт на iPhone. Uber говорит, что это право им не используется. 


«Apple дал нам такое разрешение, потому что ранние версии Apple Watch не смогли адекватно обрабатывать уровень рендеринга карт в приложении Uber», — сообщил Business News представитель компании Uber Мелани Энсигн. «Последующие обновления Apple Watch и наше приложение удалили эту зависимость, и мы работаем с Apple, чтобы полностью удалить API». 


Многие другие разработчики iOS хотели бы получить специальный доступ к частным лицензиям Apple для законных и незаконных целей.  


То, что Uber использовал, например, возможность записи экрана пользователя,  подтвердил основатель исследовательской компании Crissy Field Томас Янсен.  


«Представьте, что любое приложение сможет использовать такое право и просто записывать ваш экран без вашего ведома», — рассуждает он. Вот почему Apple не разрешает какой-либо компании использовать частные права.  


Apple от комментариев отказался. Но одна из причин, почему Apple мог позволить Uber использовать этот чувствительный код, который, вероятно, должен был быть одобрен высшим руководством, заключается в том, что приложение Uber было продемонстрировано на стадии, когда Apple в 2015 году запустил Apple Watch,  а Uber был приложением для запуска Apple Watch.  


Apple Watch


Трудно доверять  


Uber был пойман на несоблюдении правил App Store и имеет историю игнорирования границ дозволенного, когда дело доходило до создания программного обеспечения, которое может нарушить юридические или этические границы.  


После использования внутренних возможностей Apple помечать и отслеживать отдельные устройства iPhone, даже после того, как они были уничтожены, бывший генеральный директор Uber Трэвис Каланик был вызван в штаб-квартиру Apple. Там на него сильно ругался генеральный директор Apple Тим Кук, который на частной встрече с Калаником угрожал удалить приложение Uber из App Store, сообщает New York Times. 


Как известно, встреча двух генеральных директоров состоялась в начале 2015 года, в то же время Apple запустил Apple Watch.  


«Я предполагаю, что существуют какие-то чрезвычайно особые отношения, поскольку Apple предоставила им эксклюзивный доступ к привилегированному API IOKit через некоторое время после того, как они без каких-либо последствий злоупотребляли другими несвязанными API-интерфейсами IOKit в нарушение правил App Store», — предположил Страфах.  


Обман, по-видимому, не напугал Apple. Тексты, опубликованные в рамках иска, показали, что Каланик в частном порядке рассказал, что продолжает встречаться с Куком, и одна встреча, предположительно, состоялась в мае 2016 года.  


Apple стала инвестором Uber благодаря своим прямым инвестициям в китайскую компанию Heiding Didi Chuxing. В 2016 году Didi объединилась с китайской дочерней компанией Uber. 


Каланик больше не является генеральным директором Uber. Нынешний генеральный директор Uber Дара Хосровшахи еще публично не заявлял об отношениях с Apple, связанных с получением 69 миллиардов долларов, но обратил внимание на изменение политики в культуре бизнеса компании.  


Недавнее изменение iOS, программного обеспечения iPhone, помешало Uber собирать информацию о местоположении пассажиров и водителей в фоновом режиме без визуального сигнала. 


Перевод TaxiLife