אפל איפשרה לאובר לרגל אחר משתמשי האייפון

אפל אפשרה לאפליקציית אובר להשתמש ביכולת סודית, בעזרתה הקליטה חברת שיתוף הנסיעות את פעילות המשתמש על מסך האייפון - גם כאשר האפליקציה רצה ברקע. לטענת חוקרים בחברת אבטחת המידע Sudo Security Group מפעילת שירות הזמנת הנסיעות קיבלה גישה ליכולת על מנת לשפר את עבודת האפליקציה עם האפל ווטש.

לפי דיווח של אתר גיזמודו, התכונה נועדה לשפר את ניהול הזיכרון באפל ווטש, ושימוש בה דורש אישור מפורש של אפל. לדברי מנכ"ל Sudo Security Group, וויל סטראפץ', הוא לא מצא תכונה שכזו באף אפליקציה אחרת באפסטור. "עושה רושם ששום מפתחי חיצוני אחר הצליח לשכנע את אפל להעניק לו גישה לתכונה רגישה מסוג זה", אמר לגיזמודו. "לאור בעיות הפרטיות בעברה של אובר, אני מאוד סקרן לדעת איך הם שיכנעו את אפל".

אף שהתכונה לא נועדה לכך, סטארפץ' הביע חשש שאובר, או האקר שהצליח לפרוץ למערכות המחשוב של אובר, יוכלו לנטר בחשאי את מסך האייפון של המשתמש ולקבל באופן זה גישה למידע רגיש. "מדובר בגישה מלאה ל-Framebuffer, שמכיל את הצבע של כל פיקסל על המסך", אמר חוקר אבטחת המידע לוקה טודסקו. "זה יכול לאפשר להם לגנוב סיסמאות". שימוש אפשרי אחר בתכונה זו הוא ריגול אחרי השימוש באפליקציה מתחרה, דוגמת ליפט או Gett.

אפליקציית אובר | צילום: בלומברג

באובר אישרו שהחברה השתמשה בתכונה המדוברת, אך אמרו שהשימוש נועד רק לשפר את עבודתה עם האפל ווטש. "היא היתה בשימוש לגרסה ישנה של אפליקציית האפל ווטש, לביצוע המשימה המורכבת של עיבוד מפות על גבי הטלפון ושליחתן לאפליקציית השעון", נמסר לגיזמודו מהחברה. "דגמי האפל וטש המוקדמים לא יכלו לבצע תהליך זה בכוחות עצמם והכלי מעולם לא שימש לדבר פרט עיבוד מפות. השימוש בתכונה הופסק בעדכונים קודמים למערכת ההפעלה של אפל ולאפליקציה שלנו. לפיכך, אנחנו מסירים את הקוד מהאפליקציה שלנו".

לדברי סטראפץ', התכונה הופיעה לראשונה סמוך להשקת דגם האפל ווטש המקורי ב-2015. אפל נתנה למפתחים רק ארבעה חודשים להתאמת האפליקציות שלהם לשעון החכם, ולכן ייתכן שאפשרה לאובר להשתמש בתכונה הבעייתית כדי שתעמוד בדדליין.

אובר כמעט נזרקה מהאפסטור

האישור של אפל מעורר תמיהה, במיוחד לאור העבר הבעייתי שיש לה בעבודה משותפת עם אובר: באפריל השנה דיווח הניו יורק טיימס שמנכ"ל אפל, טים קוק, זימן את מנכ"ל אובר אז, טראוויס קלאניק, לשיחת נזיפה שבמהלכה איים להסיר את אובר מהאפסטור.

זאת, בתגובה לתרגיל מלוכלך שנקטה אובר בניסיון להתמודד עם הונאה מצד נהגי החברה בסין. הנהגים נהגו לקנות מספר רב של אייפונים גנובים, לפתוח עליהם חשבונות אובר חדשים תחת מייל אנונימי ולהזמין מהם נסיעות, אותן מיהרו הנהגים לקבל. לאחר מכן הנהגים מחקו את האייפון וחזרו על ההליך עם מייל וחשבון אובר חדשים. אובר חילקה באותה עת תמריצים כספיים שעודדו נהגים לקבל נסיעות, ושנמסרו גם אם לא בוצעה נסיעה בפועל וההונאה אפשרה לנהגים לגרוף הכנסות בלי להסיע משתמשים.

על מנת לעצור פעילות זו, מהנדסי אובר השתמשו בקטע קוד קצר כדי ליצור תבנית זיהוי לכל אייפון, שאפשר להם לזהות מכשירים גם אם אלו נמחקו. השיטה, שמכונה Fingerprinting, אסורה לפי כללי האפסטור של אפל, שסבורה שמחיקת אייפון צריכה להסיר לחלוטין כל פרט מזהה של המשתמש. לפיכך, קלאניק הורה למהנדסיו ליצור גדר וירטואלית (Geofence) סביב מטה אפל, כך שהאפליקציה שמורדת למכשירים באזור זה תסתיר את הקוד הזדוני.