Uber iPhone 版App可暗中錄製iPhone螢幕畫面



資安研究員Strafach指出,過去從沒有任何外部廠商可以獲得蘋果首肯取得如此敏感的資訊,這是他研究過上萬個App Store上的app中唯一一個,也是他所知有史以來第一遭。

一位App資安研究人員發現,Uber的iPhone版App具有一個祕密管道可以暗中錄製用戶的iPhone螢幕畫面。

iPhone上的相機或Apple Pay功能,一般透過名為entitlement的API供第三方app使用。但其中有些entitlement則保留蘋果自己才能用。這些名稱開頭有com.apple.private字樣的entitlement可存取更多敏感資訊,任何使用到這些介面的第三方app在App Store審查時都會遭到駁回。

但安全研究人員Will Strafach卻發現,Uber的iPhone App的程式碼中包含一段com.apple.private.allow-explicit-graphics-priority的entitlement。Strafach指出,過去從沒有任何外部廠商可以獲得蘋果首肯取得如此敏感的資訊,這是他研究過上萬個App Store上的app中唯一一個,也是他所知有史以來第一遭。

而德國安全研究公司Crissy Field則指出,這個API能讓app可以錄製用戶iPhone的螢幕畫面,而使用者不會知道,這也是蘋果一直不讓其他廠商使用該API的主因。

《全文請見iThome(https://www.ithome.com.tw/news/117311)》