Det er et utstrakt problem at Android-apper hanker inn flere rettigheter fra systemet enn hva som er nødvendig for at appen skal fungere som den er tiltenkt.
Nesten skadevare
Ubers Android-app er en av appene som henter inn så mye informasjon at man kan lure på hva man egentlig får på kjøpet etter å ha bestilt transport.
Det er enkelt å undersøke hvilke tilganger appen trenger. Det eneste som skal til på en Android-mobil er å hente ut AndroidManifest.xml fra installasjonsfilen (.apk-filen), for deretter å mate inn .xml-filen i programmet xml-apk-parser.
Les også Dinsides test av Uber i Los Angeles.
Annonse
Undersøker iOS-appen
For de av dere som lurer på om iOS-versjonen er like hensynsløs med personvernet, kan vi informere om at Cult of Mac er på saken for å undersøke. Vi følger utviklingen fortløpende.
Dette hadde Uber-talsperson Lara Sasken å si om avsløringen:
«Tilgang til rettigheter inkluderer WiFi-nett og kamera er inkludert slik at brukerne kan utnytte det fulle potensiale til Uber-appen. Dette er ikke unikt for Uber, og å laste ned Uber-appen er selvsagt helt frivillig.»
Uber sender ifølge .xml-filen til og med en logg over alle SMS som er sendt (vi er usikre på om dette betyr innholdet i SMS-ene), tilbake tl Uber. Dette selv om appen aldri spør om lov til SMS-tilgang.
Skremmende eksempler
Det er flere av tingene på listen Uber trenger tilgang til, en rekke ting det er bare er fint for dem å vite, og ting de ikke behøver å vite i det hele tatt og som ikke burde vært en del av appen.
Eksempler på dette er at appen vil vite om mobilen har oppdaget skadevare (hadde den slettet Uber-appen?), informasjon vedrørende naboens WiFi-nett, hvem du har ringt og sendt SMS og MMS til samt mobilens merke, produsent, operativsystem, MAC-adresse og om mobilen er rootet, for å nevne noe.
Det spesielle er at privacygrade.org ga appen karakter A, men dette var i august. Det er godt mulig appen er oppdatert til å hanke inn mer informasjon siden i sommer.
Dette krever den
Android-versjonen trenger nemlig følgende rettigheter til mobilen:
* Konto-log (epost)
* Appens aktivtetet (navn, pakkenavn, prossess-nummer osv.)
* Appens databruk
* Når ble appen installert, versjon, osv.
* Mobilens batteriinformasjon
* Mobilens merke, versjon, skjerm, IP, Mac-adresse, produsent, OS-plattform, produkt, SDK-kode, total diskplass, er ukjente kilder aktivert?
* GPS-nøyaktighet, høyde- og breddegrad, tjenesteleverandør, hastighet
* MMS (fra hvilket nummer, når, type, til hvilket nummer)
* NetData (bytes mottatt og sendt, tilkoblingstype)
* Samtaler (lengde, hvem du ringte fra hvem, samtaletype)
* SMS (til og fra-nummer. service-nummer)
* Telefontjeneste-informasjon (radiotårn ID, tårnets høyde- og breddegrad, IMEI, ISO landskode, lokal telefonkode, MEID, mobilens landskode, mobil nettverkskode, nettverksnavn, nettverkstype, SIM serial-nummer, SIM-status
* WiFi-tilkobling (BSSID, IP, hastighet, MAC-adresse, nettverks-ID, RSSI, ruternavn)
* WiFi-nett i nærheten (BSSID, funksjoner, SSID, frekvensnivå)
* Er mobilen rootet? (rootstatus-kode, grunnen til root, root versjon, signaturfil-versjon)
* Skadevare-informasjon (hvor god er algoritmen, liste over apper, oppdaget skadevare, skadevare SDK-versjon, pakkeliste, årsakskode, serviceliste, sigfile-versjon
Kilder:
GironSec
Cult of Mac
Annonse
