一位App資安研究人員發現,Uber的iPhone版App具有一個祕密管道可以暗中錄製用戶的iPhone螢幕畫面。

iPhone上的相機或Apple Pay功能,一般透過名為entitlement的API供第三方app使用。但其中有些entitlement則保留蘋果自己才能用。這些名稱開頭有com.apple.private字樣的entitlement可存取更多敏感資訊,任何使用到這些介面的第三方app在App Store審查時都會遭到駁回。

但安全研究人員Will Strafach卻發現,Uber的iPhone App的程式碼中包含一段com.apple.private.allow-explicit-graphics-priority的entitlement。Strafach指出,過去從沒有任何外部廠商可以獲得蘋果首肯取得如此敏感的資訊,這是他研究過上萬個App Store上的app中唯一一個,也是他所知有史以來第一遭。

而德國安全研究公司Crissy Field則指出,這個API能讓app可以錄製用戶iPhone的螢幕畫面,而使用者不會知道,這也是蘋果一直不讓其他廠商使用該API的主因。

而2015年蘋果推出Apple Watch時,曾經介紹支援的Uber app,即可顯示地圖、以及Uber車輛及乘客上下車的位置畫面。

Uber發言人向Business Insider指出,蘋果早期版本Apple Watch app因為無法在Uber iPhone app中正確呈現Apple Map地圖,才會給了Uber這個entitlement。不過她表示在之後的Apple Watch或是Uber app中,就已經移除了這段程式碼。

目前沒有證據顯示Uber有使用到這些資訊。不過對目前正陷入和Waymo的自駕車官司中的Uber來說,此事可能會對官司產生不利影響。

這已不是Uber第一次出現app隱私爭議。去年Uber也被爆iOS版app 在用戶下車後仍然追蹤他們位置,違反了蘋果App Store的規定,差點遭蘋果下架。


Advertisement

更多 iThome相關內容