マイキー・キャンベル
· 2分で読めます
セキュリティ研究者らは最近、Uber のアプリが強力な API を利用してユーザーの iPhone 画面を記録し、Apple Watch アプリとの相互運用性を向上させようとしていたことを発見した。これは Apple のみが許可できる権限だ。
セキュリティ研究者のウィル・ストラファック氏によると、Uberは、アプリがバックグラウンドで実行されている間でもユーザーの画面情報を記録できる権限を悪用したとGizmodoが報じている。
エンタイトルメントは、ハードウェアおよびソフトウェア機能へのアクセスを許可する基本的なコードですが、特定の高レベルのエンタイトルメントは通常、ファーストパーティアプリに制限されています。これらの権限はコード内で「private」という語句が付加され、機密性の高いユーザーデータへのアクセスを許可するため、厳重に保護されています。
ストラファッハ氏は、Apple が Uber に特別な権利を与えることは極めてまれであり、App Store にある Apple 自身のアプリ以外のアプリは同じ機能の恩恵を受けていないようだと指摘している。
Uberは、Appleがこの権限の使用を明示的に許可し、その後Apple Watchのメモリ管理の改善に使用されたと主張している。具体的には、Appleのウェアラブルデバイスの旧バージョンでは、Uberのソフトウェアの主要機能である、ペアリングされたiPhoneなしでは地図をレンダリングできなかった。
UberはGizmodoへの声明で、この許可はもう使用されておらず、アプリから削除されると述べた。
「このAPIはApple Watchアプリの旧バージョンで使用されており、具体的にはスマートフォン上で地図をレンダリングするという重労働を実行し、その結果をWatchアプリに送信するために使用されていました」とUberの広報担当者は述べた。「この依存関係は、AppleのOSとUberアプリのこれまでの改良によって解消されました。そのため、このAPIをiOSのコードベースから削除します。」
この権限が与えられると、Uber や悪意のある人物がユーザーに知られずにユーザーの iPhone を監視し、パスワードやその他の個人情報を漏洩する可能性があります。
「本質的には、画面の各ピクセルの色を格納するフレームバッファを完全に制御できるようになります。そのため、画面を描画したり録画したりすることが可能になります」と研究者のルカ・トデスコ氏は述べた。「パスワードなどを盗む可能性もあります。」
スヌーピングツールとしての可能性があるにもかかわらず、この許可が悪意を持って使用されたという証拠はない、とストラファッハ氏は指摘している。
ストラファック氏によると、この権利はAppleが2015年に初めてApple Watchを発売した際に初めて統合された。ウェアラブル端末の発売当時、開発者は小型デバイスで動作するようにアプリを改修する厳しい期限を与えられたと報道されており、AppleがUberにこの権利を与えたのは、自社製品を期限通りにリリースするための便宜を図ったためだと示唆されている。
Appleが2014年の特別イベントでWatchを発表した際、Apple独自のマップを含む複数のアプリが地図情報とともに公開されました。Uberのアプリは、2015年3月のApple基調講演でAppleのテクノロジー担当副社長ケビン・リンチ氏が実演した数少ないアプリの一つでした。
Uberがこの機密情報にアクセスしたことは、一部の人々を驚かせるかもしれない。というのも、このライドシェアリング企業は、自社のアプリがUUIDの収集を通じて個々のデバイスを追跡していたことが発覚し、App Storeのガイドラインに違反したとされているからだ。当時のCEO、トラビス・カラニック氏はApple本社に呼び出され、CEOのティム・クック氏から叱責を受けた。伝えられるところによると、クック氏は追跡機能を削除しなければUberアプリをApp Storeから削除すると脅したという。
