Uber iPhone 版App可暗中錄製iPhone螢幕畫面

一位App資安研究人員發現，Uber的iPhone版App具有一個祕密管道可以暗中錄製用戶的iPhone螢幕畫面。

iPhone上的相機或Apple Pay功能，一般透過名為entitlement的API供第三方app使用。但其中有些entitlement則保留蘋果自己才能用。這些名稱開頭有com.apple.private字樣的entitlement可存取更多敏感資訊，任何使用到這些介面的第三方app在App Store審查時都會遭到駁回。

但安全研究人員Will Strafach卻發現，Uber的iPhone App的程式碼中包含一段com.apple.private.allow-explicit-graphics-priority的entitlement。Strafach指出，過去從沒有任何外部廠商可以獲得蘋果首肯取得如此敏感的資訊，這是他研究過上萬個App Store上的app中唯一一個，也是他所知有史以來第一遭。

而德國安全研究公司Crissy Field則指出，這個API能讓app可以錄製用戶iPhone的螢幕畫面，而使用者不會知道，這也是蘋果一直不讓其他廠商使用該API的主因。

而2015年蘋果推出Apple Watch時，曾經介紹支援的Uber app，即可顯示地圖、以及Uber車輛及乘客上下車的位置畫面。

Uber發言人向Business Insider指出，蘋果早期版本Apple Watch app因為無法在Uber iPhone app中正確呈現Apple Map地圖，才會給了Uber這個entitlement。不過她表示在之後的Apple Watch或是Uber app中，就已經移除了這段程式碼。

目前沒有證據顯示Uber有使用到這些資訊。不過對目前正陷入和Waymo的自駕車官司中的Uber來說，此事可能會對官司產生不利影響。

這已不是Uber第一次出現app隱私爭議。去年Uber也被爆iOS版app 在用戶下車後仍然追蹤他們位置，違反了蘋果App Store的規定，差點遭蘋果下架。