Uber, l'app iOS minaccia la privacy?

Tra le linee del suo codice è stata individuata una funzione che potrebbe essere sfruttata per registrare quanto visualizzato sugli schermi degli utenti. Un entitlement utilizzabile solo su esplicito permesso di Apple
Tra le linee del suo codice è stata individuata una funzione che potrebbe essere sfruttata per registrare quanto visualizzato sugli schermi degli utenti. Un entitlement utilizzabile solo su esplicito permesso di Apple

Nel codice dell’app di Uber per iOS vi sarebbe nascosto uno strumento per registrare gli schermi dei dispositivi su cui è installata .

A notarlo è stata la società di consulenza di sicurezza Sudo Security Group , che parla di un potente tool che permette la registrazione dello schermo dell’utente anche quando l’app è in funzione solo in background: tale codice, rappresenta un particolare “entitlement” (pezzo di codice quasi standard adottato dagli sviluppatori di app per diverse forme di interazione con i sistemi Apple) che avrebbe bisogno del permesso esplicito di Apple per essere adottato in un’app per la piattaforma: particolare sarebbe la situazione dell’app di Uber perché secondo gli osservatori è al momento l’unica nell’App Store ad avere questo speciale entitlement attivo .


Il problema risiederebbe nelle possibilità offerte da quello specifico codice, ma in effetti non nel suo effettivo utilizzo in tal senso: secondo i ricercatori ha l’obiettivo di migliorare la gestione della batteria per gli Apple Watch e la possibilità di sfruttare tali permessi per interferire nella privacy degli utenti è solo incidentale. Come spiega il ricercatore e jailbreaker di iPhone Luca Todesco: “essenzialmente dà il pieno controllo del framebuffer (la memoria buffer della scheda video), che contiene il colore di ogni pixel dello schermo”, di fatto permettendone la riproduzione.

La questione si lega dunque ancora una volta alla fama di Uber, che non è nuova a sconfinamenti nella privacy dei propri utenti: scandalo era per esempio già stato sollevato con la scoperta della modalità God’s View , strumento di accesso ai dati degli utenti da parte di alcuni suoi dipendenti che veniva utilizzato dal servizio di car sharing per spiare giornalisti, vip ed ex fidanzate dei propri dipendenti.

Insomma, oltre al rischio di possibili hacker che possano sfruttare le sue falle, la paura è che sia il soggetto meno affidabile per una tale possibilità , che potrebbe vedere alcuni dei suoi dipendenti comportarsi ancora male oppure decidere di vigilare sui comportamenti degli utenti che hanno installato anche l’app Lyft, per spiare ancora una volta le modalità di utilizzo del suo concorrente più diretto.

Da parte sua la startup, la cui guida dopo diversi scandali è passata di mano fino alla nomina del nuovo CEO Khosrowshahi, ha già annunciato che provvederà a rimuovere il tool che non è più in funzione.

Claudio Tamburrino

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti