La app de Uber para iPhone podría estar grabando tu pantalla gracias a iOS 11

software

Will Strafach, un investigador de seguridad, descubrió esta semana que la app de Uber para iPhone había concedido un permiso que facilita el acceso a la característica de grabación de pantalla de iOS 11. Es uno de los muchos “derechos” que permiten a los desarrolladores aprovechar las características de un iPhone o iPad que normalmente están fuera de los límites de la mayoría de los desarrolladores de aplicaciones, a menos que se les haya concedido un permiso especial por parte de Apple.

Muchas aplicaciones de grabación de pantalla utilizan este derecho sin permiso, como iRec, que se ejecuta en dispositivos que tenga realizado jailbreak, sin embargo según la investigación llevada a cabo, Uber es la única aplicación de terceros a la que se le dio un derecho privado. De hecho otros desarrolladores de aplicaciones para iPhone y iPad dijeron que la medida no tenía precedentes.

Luca Todesco, experto en jailbreak señala que es un “caso de uso extremadamente peligroso” y explica que el derecho específico, conocido como “com.apple.private.allow-explicit-graphics-priority”, permite al desarrollador leer o escribir en el framebuffer del iPhone, una parte de la memoria del teléfono que contiene datos de píxeles y de visualización. A su vez esta lectura permite consultar la pantalla del dispositivo.

uber

Un peligro para los usuarios de la app de Uber para iPhone

El experto también advirtió que esta incidencia agrega “una debilidad significativa” a los usuarios de la aplicación de Uber, porque ganar derechos de ejecución de código permitiría al atacante registrar las credenciales del usuario.

Ante la polémica un portavoz de Uber dijo que el código se utilizó para mejorar la representación en su aplicación Apple Watch: “No está conectado a nada más en nuestra base de código actual. Esta API permitiría que los mapas se representen en el teléfono en segundo plano y luego se envíen a su Apple Watch”, añadieron. “Las subsiguientes actualizaciones de Apple Watch y nuestra aplicación eliminaron esta dependencia, por lo que estamos eliminando completamente la API”, dijo el portavoz.

Google Maps se integra con Uber

Este hecho es el último de una larga historia de problemas de privacidad relacionados con Uber, incluyendo programas usados ​​para rastrear conductores de Lyft, y otros programas secretos dirigidos a descubrir y frustrar los esfuerzos de las autoridades policiales y secretas. El New York Times informó a principios de este año que el director ejecutivo de Apple, Tim Cook, amenazó con expulsar a Uber de la Apple App Store después de que Uber fuera sorprendida violando sus reglas al rastrear iPhones después de que la aplicación fue eliminada.

Por el momento Apple no se ha pronunciado al respecto.

Escrito por Miguel Martínez

Fuente > zdnet