【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权? 2017-10-09 14:03:05 阅读:694次 点赞(0) 收藏 来源: thehackernews.com
【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权? 作者:360代码卫士
【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权?

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


What?! 优步可记录iPhone用户的屏幕!

使用优步(Uber)app的iPhone用户要注意了,这款打车软件能偷偷记录用户屏幕!

安全研究员Will Strafach最近披露称苹果选择性地授予优步使用该公司最新推出的屏幕记录API功能,以帮助改进苹果手表上优步app的性能。这种屏幕记录API能让优步app即使在app关闭的情况下记录用户的屏幕信息,从而让优步访问所有通过iPhone屏幕显示的用户信息。

更糟糕的是,如果黑客能劫持优步软件,那么苹果的这一授权(entitlement)可能会让用户数据易受攻击。研究人员指出,其他第三方开发者似乎无法从苹果公司获取这种类型的授权。鉴于优步令人担忧的安全状况,他对苹果的授权感到好奇。


优步称将删除授权代码,但究竟是如何获得苹果授权的?

就在这则消息公开后不久,优步回应称将从iPhone app的代码库中删除即使在后台运行也会记录屏幕的授权代码。虽然目前尚不清楚优步的iPhone app何时开始拥有这个权限,以及拥有时间有多长,但优步的一名发言人在推特上指出该授权用于苹果手表app的一个旧版本,而且其获得授权的原因是之前苹果手表无法渲染地图。而随着苹果手表和优步app的升级,优步已无需这个授权。


该权限若被滥用可致用户隐私泄露

研究人员指出授权权限是"com.apple.private.allow-explicit-graphics-priority",它能让开发人员读取并写入iPhone的部分内存以访问设备的屏幕数据。研究人员还表示,几乎每款iPhone app都会通过授权启用一些功能如摄像头或苹果支付。然而,苹果向非苹果app授予“敏感”权限的情况并不常见,他在苹果官方应用商店中并未发现其它app拥有此类权限。

尽管尚未有证据表明优步滥用了这个权限,但这种特别权限可能会遭黑客利用从而执行一系列活动如记录密码、监控用户并获取其它个人用户数据等。

苹果尚未就此事置评。


并非优步首次陷入隐私漩涡

这并非优步首次陷入隐私漩涡中。去年年末,优步曾被指用户的打车行程结束后,其地理位置仍然遭追踪。去年,优步也曾因为监控用户的电池寿命而饱受争议,因为优步发现用户在电量快用完时更愿意支付更高的打车价格。


【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权?
【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权? 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://thehackernews.com/2017/10/uber-screen-record-iphone.html

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】优步记录iPhone用户屏幕,背后竟有苹果授权?
本站链接:http://www.codesec.net/view/565530.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(50)