Uber のデータ収集 Android アプリはマルウェアに非常に近い [更新]
Rumors

Uber のデータ収集 Android アプリはマルウェアに非常に近い [更新]

  • Oligur
  • 0
  • vyzf
Uber のデータ収集 Android アプリはマルウェアに非常に近い [更新]
  • ニュース
ユーバープール-iPhone-5s
Uberにデータを提供する前に、もう一度よく考えた方が良いかもしれません。写真:Uber

Uberは最近、とんでもない数の論争に見舞われているが、この配車サービスにとって事態はさらに悪化しそうだ。あるセキュリティ研究者がUberのAndroidアプリのコードをリバースエンジニアリングしたところ、驚くべき発見があった。それは「文字通りマルウェア」だったのだ。

GironSecはアプリのコードを詳しく調査し、Uberアプリが「自宅に電話をかけ」、Uberにデータを送信していることを発見しました。しかし、これは典型的なアプリデータではありません。Uberは、アプリが許可を求めていないにもかかわらず、ユーザーのSMSログ全体にアクセスできます。さらに、通話履歴、使用したWi-Fi接続、GPS位置情報、そしてあらゆる種類のデバイスIDにもアクセスしています。

このアプリは、近所のWi-Fiをチェックし、ルーターの性能、周波数、SSIDに関する情報も取得します。このアプリの脆弱性に関するニュースは、Hacker Newsに「要約:UberのAndroidアプリは文字通りマルウェアだ」という魅力的な紹介文とともに初めて掲載されました。この暴露についてコメントしたある開発者は、「Googleがこのアプリを直ちにストアから永久削除し、アップロードした開発者を追放しない理由はない。おそらく法的措置を取るべきだ」と述べています。

Uber が Android アプリを通じて収集しているすべてのデータの完全なリストは次のとおりです (iOS バージョンも同様に動作するかどうかを確認中です)。

アカウント ログ(メール)
アプリ アクティビティ(名前、パッケージ名、アクティビティのプロセス番号、処理済み ID)
アプリ データ使用量(キャッシュ サイズ、コード サイズ、データ サイズ、名前、パッケージ名)
アプリのインストール(インストール場所、名前、パッケージ名、不明なソースが有効、バージョン コード、バージョン名)
バッテリー(状態、レベル、接続、存在、スケール、ステータス、テクノロジー、温度、電圧)
デバイス情報 (ボード、ブランド、ビルド バージョン、セル番号、デバイス、デバイス タイプ、ディスプレイ、フィンガープリント、IP、MAC アドレス、製造元、モデル、OS プラットフォーム、製品、SDK コード、合計ディスク容量、不明なソースが有効)
GPS (精度、高度、緯度、経度、プロバイダー、速度)
MMS (送信元番号、MMS 送信先、MMS タイプ、サービス番号、送信先番号)
NetData (受信バイト数、送信バイト数、接続タイプ、インターフェイス タイプ)
PhoneCall (通話時間、発信場所、送信元番号、電話通話タイプ、送信先番号)
SMS (送信元番号、サービス番号、SMS 送信先、SMS タイプ、送信先番号)
TelephonyInfo (セル– 基地局 ID、基地局の緯度、基地局の経度、IMEI、ISO 国コード、市内局番、MEID、モバイル国コード、モバイル ネットワーク コード、ネットワーク名、ネットワーク タイプ、電話タイプ、SIM シリアル番号、SIM 状態、加入者 ID)
WifiConnection (BSSID、IP、リンク速度、MAC アドレス、ネットワーク ID、RSSI、SSID)
WifiNeighbors (BSSID、機能、周波数、レベル、SSID)
ルート チェック(ルート ステータス コード、ルート ステータス理由コード、ルート バージョン、署名ファイル バージョン)
マルウェア情報(アルゴリズムの信頼度、アプリ リスト、検出されたマルウェア、マルウェア SDK バージョン、パッケージ リスト、理由コード、サービス リスト、署名ファイル バージョン)

Uberがアプリ内でこれらの情報のほとんどを使用する正当な理由があるかもしれない。例えば、不正行為の検出や情報収集ツールなどだ。問題は、これらの情報がユーザーの知らないうちに、あるいは許可なくUberのサーバーに送信・収集されていることだ。

アル・フランケン上院議員は先週、ウーバーのCEOトラビス・カラニック氏に書簡を送り、同社がデータ収集について公に説明するよう要求した。この書簡は、ウーバー幹部が同社に不利な記事を書いたジャーナリストをスパイ行為で脅迫すると脅したという最近の論争を受けて出されたものだ。ウーバーの「God View」ツールは、社内関係者が乗客データに無制限にアクセスできるようにしており、ここ数週間、懸念の種となっている。

Cult of MacはUberに対し、AndroidおよびiOSアプリが行っているデータの収集と送信についてコメントを求めたが、回答は得られていない。

更新: Uber は同社のデータ収集についていくつかの説明を行い、包括的なアクセスは実際には Google からの要件であり、Android 開発者は事前にプライバシーの許可を求める必要があることを指摘しました。

Uberの広報担当ララ・サスケン氏はCult of Macに対し、次のような声明を発表した。

「Wi-Fiネットワークやカメラへのアクセスを含む権限は、ユーザーがUberアプリの全機能を体験できるよう含まれています。これはUberに限ったことではなく、Uberアプリのダウンロードは当然任意です。」

Recodeは、Uberの競合であるLyftがAndroid上で同じデータへのアクセスを要求していると指摘しています。iOSやWindowsとは異なり、Android開発者はアプリが実際に必要とする以上のユーザーデータへのアクセスを要求することが推奨されています。Android版Uberアプリは、ユーザーがケースバイケースでデータへのアクセスを拒否できるiOSやWindowsと比較して、モバイルOSのプライバシーに関する弱点を露呈しています。

Android の権限に関する追加情報は Uber のサイトにありますが、すべての機能が説明されているわけではありません。

出典: GironSec

Related Posts

Apple、再生品M1 MacBookを大幅割引で販売開始
Apple、再生品M1 MacBookを大幅割引で販売開始
vyzf
ミサイルコマンダーがレトロノスタルジアを燃やす [レビュー]
ミサイルコマンダーがレトロノスタルジアを燃やす [レビュー]
vyzf
クアルコム、中国でiPhoneの販売禁止を要求
クアルコム、中国でiPhoneの販売禁止を要求
vyzf
iPhone 11、11 Proの再生品を本日限定で479.99ドルからご購入いただけます
iPhone 11、11 Proの再生品を本日限定で479.99ドルからご購入いただけます
vyzf
iPhone向けTrapster 4.5がついにあなたの行き先を認識し、リアルタイム交通情報オーバーレイなどを追加
iPhone向けTrapster 4.5がついにあなたの行き先を認識し、リアルタイム交通情報オーバーレイなどを追加
vyzf
アップルはiPhoneでテキストメッセージを送信者の声で読み上げたいと考えている
アップルはiPhoneでテキストメッセージを送信者の声で読み上げたいと考えている
vyzf

You may also like

Apple、再生品M1 MacBookを大幅割引で販売開始
Apple、再生品M1 MacBookを大幅割引で販売開始
Apple
クアルコム、中国でiPhoneの販売禁止を要求
クアルコム、中国でiPhoneの販売禁止を要求
Apple
ミサイルコマンダーがレトロノスタルジアを燃やす [レビュー]
ミサイルコマンダーがレトロノスタルジアを燃やす [レビュー]
Apple
iPhone向けTrapster 4.5がついにあなたの行き先を認識し、リアルタイム交通情報オーバーレイなどを追加
iPhone向けTrapster 4.5がついにあなたの行き先を認識し、リアルタイム交通情報オーバーレイなどを追加
Apple
iPhone 11、11 Proの再生品を本日限定で479.99ドルからご購入いただけます
iPhone 11、11 Proの再生品を本日限定で479.99ドルからご購入いただけます
Apple
アップルはiPhoneでテキストメッセージを送信者の声で読み上げたいと考えている
アップルはiPhoneでテキストメッセージを送信者の声で読み上げたいと考えている
Apple