9-10-2017, 10:43

Chi tiết về việc Uber trên iOS có thể quay màn hình ngay cả khi đã đóng ứng dụng

Các nhà nghiên cứu bảo mật đã phát hiện ra ứng dụng Uber trên iPhone có thể bí mật ghi lại màn hình điện thoại ngay cả khi đã đóng ứng dụng. Uber cho biết sẽ sớm gỡ bỏ các API liên quan nhưng câu chuyện này nhiều uẩn khúc!
Chi tiết về việc Uber trên iOS có thể quay màn hình ngay cả khi đã đóng ứng dụng

Nhà nghiên cứu bảo mật Will Strafach cho biết ứng dụng Uber đã được cấp một quyền riêng tư đặc biệt cho phép ghi hình màn hình điện thoại. Đây là một trong số nhiều quyền cho phép các lập trình viên truy xuất vào các tính năng trên iPhone hoặc iPad mà thông thường sẽ bị Apple giới hạn đối với hầu hết các lập trình viên ứng dụng. Rất nhiều ứng dụng ghi hình màn hình iPhone/iPad sử dụng quyền này mà không được cấp phép, chẳng hạn như iRec vốn chỉ chạy được trên các thiết bị đã jailbreak.

Strafach đã phân tích hàng ngàn mã nhị phân từ nhiều ứng dụng khác nhau và ông nhận ra Uber là ứng dụng phía thứ 3 duy nhất được trao quyền này. Nhiều nhà phát triển ứng dụng cho iPhone và iPad cho rằng đâu là một điều chưa từng có tiền lệ.

Trong khi đó chuyên gia về Apple, nhà phát triển công cụ jailbreak Luca Todesco đánh giá đây là 'một tình huống sử dụng cực kỳ nguy hiểm'. Theo Todesco thì Uber được cấp một quyền riêng tư rất đặc biệt có tên 'com.apple.private.allow-explicit-graphics-priority.' cho phép lập trình viên đọc và ghi bộ đệm khung hình trên iPhone. Đây là một phần của bộ nhớ điện thoại chứa dữ liệu điểm ảnh và màn hình. Todesco nói: 'Điều này giống như việc cấp cho ứng dụng tính năng keylog vậy!' Thêm vào đó Todesco cũng cảnh báo rằng nếu có được quyền thực thi mã, kẻ tấn công có thể ghi lại thông tin tài khoản người dùng.

Một đại diện của Uber cho biết phần mã lập trình nói trên được sử dụng để cải thiện tính năng render trên ứng dụng Uber cho Apple Watch. Hàm API này cho phép ứng dụng render bản đồ trên điện thoại (dưới dạng chạy nền) sau đó gởi đến Apple Watch. Người này nhấn mạnh rằng trong các bản cập nhật tiếp theo cho Apple Watch, sự lệ thuộc này sẽ bị loại bỏ và Uber cũng sẽ sớm loại bỏ API này hoàn toàn.

Uber từng nhiều lần bị cáo buộc vi phạm quyền riêng tư. Trước đó Uber đã bị tố cáo sử dụng các phần mềm để theo dõi các tài xế của Lyft - một dịch vụ cạnh tranh với Uber cũng như nhiều phần mềm bí mật khác nhằm phát hiện và chống lại lực lượng hành pháp. Hồi đầu năm nay, trên The New York Times, giám đốc điều hành Apple - Tim Cook đã đe dọa sẽ loại bỏ ứng dụng Uber ra khỏi App Store sau khi ứng dụng này bị phát hiện có thể theo dõi iPhone của người dùng ngay cả khi đã bị xóa khỏi máy.

Strafach nói ông không hiểu vì sao Uber trước đó đã phạm luật nhưng vẫn 'thuyết phục được Apple để được truy xuất vào các quyền riêng tư.' Ông nói: 'Dường như họ (Uber) được đối xử đặc biệt và không muốn trực tiếp thừa nhận điều này.'

Theo: ZDNet