| 5 октября 2017 г. — 12:51 PT
Руководитель отдела по связям с общественностью в сфере безопасности Uber сегодня объявил, что компания отключает доступ к своему приложению для iOS, который мог позволить компании записывать экран пользователя без его ведома. Исследователи безопасности заметили, что Apple предоставила Uber доступ к этим закрытым API, что является беспрецедентным шагом со стороны компании, ориентированной на безопасность.
В iOS разработчики приложений используют «entitlements» (разрешения) для получения доступа к различным API. Например, использование API iCloud и Apple Pay требует определенных разрешений в приложении.
Идея использования разрешений заключается в том, что приложения iOS имеют доступ только к тому, что им абсолютно необходимо. Как говорит Apple: «Предоставляя доступ только к тем ресурсам, которые вам нужны, вы минимизируете потенциальный ущерб, если вредоносный код успешно использует ваше приложение».
Именно здесь приложение Uber для iOS вызвало некоторое недоумение. API, а следовательно, и разрешения, разделяются на публичные и закрытые. Закрытые API нельзя использовать в приложениях, которые отправляются в App Store. API Uber, который технически мог позволить им записывать экран устройства, был скрыт за закрытым разрешением.
Мелани Энсин, специалист по безопасности и конфиденциальности в Uber, сообщила Уиллу Штрафаху в Twitter, что это разрешение будет отозвано. По словам Энсин, API использовался в то время, когда приложения watchOS не могли обрабатывать рендеринг карт. С технической точки зрения, API могли позволить Uber захватывать то, что отображалось на экране приложения iOS, а затем передавать это в приложение watchOS.
API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It’s not in use & being removed. Thx!
— Melanie Ensign (@iMeluny) October 5, 2017
Штрафах спросил Энсин, как Uber вообще получил доступ к этому разрешению. Поскольку это закрытое разрешение, ни одно приложение не должно было иметь такого доступа. В своем собственном исследовании он обнаружил, что только Uber и собственные приложения Apple имели этот закрытый доступ. Штрафах упомянул, что Apple должна была предоставить это разрешение Uber.
Получение такого уровня доступа особенно интересно в свете истории отношений Apple и Uber. Ранее в этом году сообщалось, что Тим Кук угрожал удалить Uber из App Store из-за обвинений в отслеживании пользователей.
Смотрите 9to5Mac на YouTube для получения дополнительных новостей об Apple: