Extrawurst für Uber: Apple ermöglichte Display-Aufnahmen
Wer Apples Clips-Applikation nutzt, muss vor dem Zugriff auf das persönliche Foto-Archiv keine Sicherheitsabfrage bestätigen.
Um den Einsatz der hauseigenen iOS-Anwendungen so komfortabel wie möglich zu gestalten, versieht Apple die eigenen Anwendungen mit sogenannten Entitlements – ein Freifahrtschein, der den eigenen Anwendungen besondere Berechtigung zugesteht und sich nicht an den Standard-Einschränkung des mobilen Betriebssystems stört.
Wie dem Sicherheitsforscher Will Strafach jetzt aufgefallen ist, gibt es auch auch von Apple ausgewählte Drittanwendungen, die Cupertino mit eigenen Entitlements ausgestattet hat.
So durfte sich der umstrittene Fahrvermittlungs-Dienst Uber über eine Sonderbehandlung freuen: Apple gestattete dem Taxi-Konkurrenten den Vollzugriff auf den iPhone-Bildschirm und ermöglichte die Aufnahme des im Display angezeigten Inhaltes auch dann, wenn die Uber-Applikation im Hintergrund arbeitete.
Nach Angaben des Unternehmens nutzte der Fahrvermittlungs-Dienst seine Extrawurst lediglich dazu, die eigenen Karten auf der Apple Watch anzuzeigen, da frühe Modelle der Computer-Uhr noch nicht über die Rechenleistung verfügten das zum Einsatz der App benötigte Kartenmaterial selbst darzustellen.
„Apple gave us this permission years because Apple Watch couldn’t handle our maps rendering. It’s not connected to anything in our current codebase.“, so ein Uber-Sprecher gegenüber US-Medien.
Zwar gibt es derzeit keinen Grund anzunehmen, dass Uber seine Sonderberechtigung missbräuchlich eingesetzt hat, rein theoretisch hätte die App jedoch den vollen Zugriff auf jeden Bildschirm-Pixel gehabt und wäre so auch in der Lage gewesen Passwörter, E-Mails und Kurznachrichten mitzulesen.
Laut Uber machen aktuelle Versionen der offiziellen iPhone-Anwendung keinen Gebrauch mehr von dem Entitlement. Entsprechend soll der derzeit noch vorhandene Code in einem der nächsten Updates entfernt werden.
Wers glaubt Vorallem bei über die machen einen Regel Verstoß nach dem anderen
Wir haben den Code zwar, aber wir werden ihn nicht einsetzen. Wir haben nur Gutes vor.
Ausgerechnet die Uber Horste werden bestimmt sorgsam damit umgehen.
mit solchen Geschichten torpediert Apple alle Aussagen hinsichtlich „Datenschutz ist unsere höchste Priorität „dann kann man auch zu Android wechseln
Bei Apple nutzt man halt die App nicht, bei einem Android nutzt man das ganze Handy nicht.
nur dass du nicht weißt welche Anwendungen alle diesen Freifahrtschein von Apple erhalten haben.. wie willst du sie dann meiden? du Eumel..
Richtig.
Apple sollte schnellstens mit dem Gebaren aufhören und uns die Liste der drittanbieter Apps mit Sonderrechten geben.
Außer dem guten Datenschutzruf hat Apple nicht mehr viel, was die Smartphones von den Androiden abhebt
was hebt denn apple noch von android ab?
Gar nichts, der angebliche Datenschutz ist mein einziger Kaufgrund. Und das glaub ich auch nur weil Apple aufgrund des allgemeinen Geschäftsmodells das geringere Übel ist. Ja klar, ich mag die Menüs und das Design und alles seit über 10 Jahren. Aber bei Android gibts unendlich Auswahl und irgendwie funktioniert dort auch alles, Design ist auch seit Jahren ähnlich und gut Bedienbar.
Zitat:
„Zwar gibt es derzeit keinen Grund anzunehmen, dass Uber seine Sonderberechtigung missbräuchlich eingesetzt hat, rein theoretisch hätte die App jedoch den vollen Zugriff auf jeden Bildschirm-Pixel gehabt und wäre so auch in der Lage gewesen Passwörter, E-Mails und Kurznachrichten mitzulesen.“
Achja? Gerade Uber ist das absolut zuzutrauen, nach den ganzen Skandalen, die sich diese Firma seit ihrem Bestehen geleistet hat!
Apple wäre imho gut beraten, solche Entitlements in Zukunft von vorherein offenzulegen und nicht erst, wenn es anderweitig bekannt wird, oder spricht irgendwas dagegen?Können diese Apps eigentlich auch mitlesen, wenn sie ganz geschlossen sind und die Hintergrundaktualisierung deaktiviert ist?
UberDa erübrigt sich in Zukunft jeder Kommentar zur Sicherheit von iOS. Was mich aber noch viel mehr interessiert wären welches denn die anderen hoch vertrauensvollen Drittanbieter Apps wären die Zugriff haben und ist das auch auf staatliche Dienste ausgedient :-///
Entschuldigung für den Text ich hatte den schon formatiert und nicht am Stück geschrieben aber die App von iFun haut das einfach zusammen? Und ausgedient soll natürlich ausgedehnt heißen
Es gibt andere Berichte über das Thema, die die möglichen Auswirkungen reduzieren. Wenn ich den Zusammenhang richtig verstanden habe, nutzt man die GPU und off-screen bitmaps zum rendern der Karten. Hier ist ein sandboxing möglich. Da niemand, der darüber geschrieben hat, den Sourcecode kennt, gibt es dazu auch keine Aussagen (wäre dann ja auch keine Sensation mehr).Zum Anderen wird sich Apple sehr genau angeschaut haben, was Uber mit dieser speziellen Erlaubnis anstellt, bevor sie die App in den Store gelassen haben. Fazit für mich: lediglich eine hypothetische Sicherheitslücke.
Ja klar, Apple schaut genauer hin. So wie Apple genauer hinschaut wenn sie Updates rauslassen? Oder wie war das noch mal mit dem Leak-Update vor der Keynote? Wie gesagt, mit der X-Reihe bekommen wir alle auch noch ein Gesicht.
Da sie hier eine Ausnahme gemacht haben, werden sie – gerade wegen ihrer Datenschutz-Kampagne – sicher sehr genau hingeschaut haben. Und so lange keine anderen Infos im Umlauf sind, seh ich keinen Grund zur Panik.
Sorry, es ist nicht erwiesen, dass Uber jederzeit auf den Bildschirm-Inhalt zugreifen kann. Es ist lediglich klar, dass sie ein besonderes SW-Recht erhalten haben. Welche Auswirkungen dieses Recht hat ist genau so offen wie das, was sie tatsächlich damit gemacht haben, in welchem Zeitraum und was Apple dabei überprüft hat.
Das zusätzliche Recht an sich ist kein Problem, wenn es ein Sandboxing gab oder Apple die Funktion der Software eng überwacht hat. Das Problem entsteht erst, wenn beides, Sandboxing und Überwachung, gefehlt haben.
und dann noch für Uber. Bravo Apple! Da richtet man über Jahre den USP auf Datensicherheit des Users aus und räumt dann, um nicht zugeben zu müssen, dass WatchOS1 Müll war, Uber Sonderrechte ein um nen Showcase für die Uhr zu haben. Hoffentlich hat sich das rentiert.Das wird sich noch zu nem PR-Desaster entwickeln, würd mich nicht wundern wenn hier Köpfe rollen werden. Einmal verlorenes Vertrauen wird teuer wieder aufzubauen.
+1
-1
+2
Wenn ich Apple noch vertraut hätte, dann jetzt sicherlich nicht mehr. Aber mein Vertrauen haben sie schon verloren, als es gelungen war, längst gelöschte Notizen aus der iCloud wieder herzustellen.
Wem vertraust du also jetzt?
Meinem Kugelschreiber und meinem Block :P
Da bekomme ich dein Text raus auch wenn du den Zettel mitnimmst
Apple hat dich finanzielle Interesse das der uber läuft… hat doch fett investiert … ;-)
Edit: Dich = doch
@revosbackback ich antworte schonmal mal für dich: „Nunja. Ist jetzt ein Bereich der Standard Nutzer und viele darüber hinaus nicht betreffen dürfte.“ Ich vermute mal, dass wäre deine Argumentation, oder? Alles halb so wild.
Wen interessiert heute noch Uber? Guckt euch lieber CleverShuttle an, prima Sache das. :)
Mit welchem entititlement bekommt man denn Zugriff auf den Bildschirm ? Nur aus Interesse mir ist das nicht bekannt …
Uber die auch die Uber App Programmiert haben hätten tatsächlich die Möglichkeit die eMail und das Passwort ein zu sehen? Na logisch könnten sie das wenn sie wollen. Dazu braucht man doch keine Screenshot Berechtigung. Das geht doch viel einfacher wenn man es denn will. Man lässt sich es bei dem log in einfach Initial als Klarnamen schicken und gut. Also an die Alu Hut Fraktion… Ihr dürftet bei der Sorge dann gar keine Gerät, App, Kasse, Automat mit einem Passwort oder Pin benutzen.
Bitte nochmal verständlich formulieren. Wo soll was im Klartext abgegriffen?