มัลแวร์ตัวอักษร? การระเบิดเป็นรูปเป็นร่างของแอปของ Uber

[ware_item id=33][/ware_item]

มัลแวร์ตัวอักษร? การระเบิดเป็นรูปเป็นร่างของแอปของ Uber


เมื่อสัปดาห์ที่แล้ว The Hacker News โพสต์บทความเกี่ยวกับแอพมือถือที่เสนอโดยบริการแชร์รถ Uber - กลับกลายเป็นนักวิจัยด้านความปลอดภัยจาก Arizona reverse ทำการออกแบบแอพ Android เพื่อดูว่ามีการรวบรวมข้อมูลประเภทใดและจากการค้นพบของเขา “ มัลแวร์ตัวอักษร” ตอนนี้เว็บกำลังพูดคุยกันถึงแอปตัวเองการอนุญาตผ่านมือถือและความหมายของการเป็นมัลแวร์.

พวกเขากำลังมองหาอะไร?

การอนุญาตให้ใช้แอปเป็นสิ่งที่มีความขัดแย้งในหมู่ผู้ใช้อยู่แล้วโดยเฉพาะอย่างยิ่งเมื่อพูดถึงอุปกรณ์ Android Google มักจะบังคับให้นักพัฒนาซอฟต์แวร์รวมคำขออนุญาตที่กว้างขวางมากสำหรับฟังก์ชั่นที่เรียบง่ายทำให้รู้สึกได้ว่ามีการเข้าถึงข้อมูลมากกว่าที่จำเป็น ในกรณีของ Uber เธรด Ycombinator พบว่าสามารถเข้าถึงโฮสต์ของข้อมูลรวมถึง:

  • กิจกรรมแอพ
  • อายุแบตเตอรี่
  • ข้อมูลอุปกรณ์รวมถึงผู้ผลิตรุ่นระบบปฏิบัติการและรหัส SDK
  • ข้อมูล SMS
  • ข้อมูลการเชื่อมต่อ WiFi
  • ข้อมูลผู้ติดต่อ
  • ข้อมูล GPS
  • ข้อมูลมัลแวร์เช่นการตรวจสอบหาช่องโหว่ Heartbleed

ข้อมูลส่วนใหญ่มีเหตุผล: สามารถใช้ข้อมูลการเชื่อมต่อ GPS และ WiFi เพื่อระบุตำแหน่งของคุณเมื่อสั่งซื้อรถในขณะที่ข้อมูลสัญญาช่วยให้คุณแยกค่าโดยสารหรือเชิญเพื่อนให้ใช้แอป แม้แต่ข้อมูลอุปกรณ์ก็ยังไม่สมบูรณ์: Uber บอกว่าพวกเขาใช้ข้อมูลนี้เพื่อกำหนด ID ผู้ใช้ที่ไม่ซ้ำ.

อย่างไรก็ตามข้อมูลอื่นมีปัญหามากกว่า ทำไม Uber ถึงใส่ใจประวัติ SMS ข้อมูลมัลแวร์หรืออายุแบตเตอรี่ ดูเหมือนจะเป็นการรบกวนเล็กน้อยและหากข้อมูลนี้ถูกส่งกลับมายัง บริษัท จริง ๆ ก็ไม่ยากที่จะดูว่าทำไมบางคนถึงเรียกแอป“ มัลแวร์”.

ไม่ใช่อุบาทว์?

แต่มันไม่ง่ายอย่างนั้น เว็บถัดไปทำการขุดและพบว่าในขณะที่ Uber กำลังส่งข้อมูลทั้งหมดที่ต้องการเพื่อให้ผู้ใช้ขี่รถแอปไม่ได้รับ SMS หรือข้อมูลอื่น ๆ เพื่อรวบรวม Uber กล่าวมากในแถลงการณ์ของ Cult of Mac และยังชี้ให้เห็นว่าบริการอื่น ๆ มักต้องได้รับการอนุญาตประเภทเดียวกัน.

นอกจากนี้ยังมีมูลค่าการกล่าวขวัญว่าในการใช้แอพ Uber ผู้ใช้จะต้องดาวน์โหลดก่อนแล้วจึงยอมรับการอนุญาตตามที่ปรากฏ ในขณะที่ บริษัท ดูเหมือนจะสนใจที่จะได้รับทุกสิ่งที่สามารถยกระดับ "ประสบการณ์ผู้ใช้" แต่ดูเหมือนว่าเป้าหมายของพวกเขาคือการขโมยข้อมูลส่วนบุคคล - อะไรคือประเด็น ผู้ใช้จะค้นหาข้อมูลเกี่ยวกับความไม่เหมาะสมอย่างรวดเร็วและแพร่กระจายคำศัพท์อย่างรวดเร็ว ตามที่ระบุไว้โดย The Next Web การอนุญาตที่นี่อาจไม่ใช่ปัญหา: อาจเป็นวิธีที่พวกเขานำเสนอต่อผู้ใช้ราวกับว่าข้อมูลทั้งหมดของพวกเขาพร้อมสำหรับการคว้า.

ดินแดนที่คุ้นเคย

Uber ไม่ใช่แอปแรกที่ถามสิทธิ์ของแอป ในสหราชอาณาจักรเจ้าหน้าที่ของรัฐกำลังเรียกร้องให้มีการสอบถามเกี่ยวกับแอพมือถือของ Facebook และความเป็นไปได้ที่จะสามารถถ่ายภาพหรือบันทึกวิดีโอโดยไม่ได้รับอนุญาต ขณะนี้ USA Today ชี้ให้เห็นว่าแอปฟรีจำนวนมากขอสิทธิ์การใช้งานที่พวกเขาไม่ต้องการ - ตัวอย่างเช่นแอพสำหรับสัตว์เลี้ยงและพจนานุกรมเสมือนที่ต้องการเข้าถึงข้อมูล GPS และไมโครโฟน.

ดังนั้นคำตัดสินขั้นสุดท้ายคืออะไร แอปของ Uber เป็น "มัลแวร์ตัวอักษร" หรือไม่? เรียงจาก แม้ว่าจะสามารถเข้าถึงข้อมูลอุปกรณ์ที่อยู่นอกเหนือขอบเขตของมันในฐานะแอปแชร์รถ แต่ก็ไม่มีหลักฐานของการกระทำที่เป็นอันตราย เมื่อไม่นานมานี้ Uber กำลังประสบปัญหาเรื่องโฮสต์อื่นดังนั้นจึงไม่น่าแปลกใจเลยว่าแอปของพวกเขากำลังอยู่ภายใต้การพิจารณาที่ดีกว่า - สิ่งที่ค้นพบที่นี่ไม่ใช่ความลับที่ยิ่งใหญ่ของ Uber แต่ข้อเท็จจริงที่ว่าแอป Android โดยทั่วไป พวกเขาต้องการจริงๆ บางส่วนอยู่บน Google ในขณะที่บางส่วนมาจากนักพัฒนาแอปด้วยตนเอง.

อย่างไรก็ตามไม่ว่าจะมาจากแหล่งใดความจริงยังคงเป็นเรื่องที่ผู้ใช้จะต้องอ่านสิ่งที่พวกเขาเห็นด้วยแล้วตัดสินใจว่าความเสี่ยงนั้นคุ้มค่าหรือไม่ และนี่คือที่สร้างมัลแวร์ Uber แยกกัน: ผู้ใช้ให้สิทธิ์แอปเข้าถึงอุปกรณ์ของพวกเขาเป็นจำนวนมาก เมื่อได้รับอนุญาตก็จะอนุมัติโดยปริยาย หากคุณต้องการความเป็นส่วนตัวอ่านอย่างระมัดระวังก่อนที่จะกดปุ่ม "เห็นด้วย"

มัลแวร์ตัวอักษร? การระเบิดเป็นรูปเป็นร่างของแอปของ Uber
admin Author
Sorry! The Author has not filled his profile.