Per migliorare le funzionalità dell’app Uber, Apple ha permesso all’azienda di utilizzare un potente strumento che potenzialmente permette di registrare lo schermo dell’iPhone di un utente, anche se l’app è in background.
Dopo la scoperta di questa funzione “nascosta”, Uber ha dichiarato di non aver mai utilizzato lo strumento in oggetto per altri scopi non legati a quanto riferito ad Apple, e di volerlo eliminare con un prossimo aggiornamento. La capacità di registrare lo schermo viene attivata tramite un codice che gli sviluppatori possono utilizzare per qualsiasi cosa da impostare, affinché le notifiche push interagiscano con i sistemi Apple come iCloud e Apple Pay. Questa particolare concessione, tuttavia, era nata anche per migliorare le gestione della memoria su Apple Watch: per poterla utilizzare era necessario un esplicito permetto da parte di Apple. Al momento, sembra che Uber sia stata l’unica app ad avere avuto questa autorizzazione. Inoltre, tale “permesso” è stato totalmente deprecato con precedenti update di iOS e ora non è più attivabile.
Will Strafach, esperto ricercatore e CEO della Sudo Security Group, ha confermato quanto appena detto: “Sembra che nessun altro sviluppatore di terze parti sia riuscito a convincere Apple nel concedere questa autorizzazione. Considerati i problemi passati riscontrati nell’app di Uber, sono molto curioso di scoprire come abbiano convinto Apple a farlo”.
Anche se questa autorizzazione serve proprio per limitare la richiesta di risorse su Apple Watch, la preoccupazione dei ricercatori è che Uber possa riuscire a superare le varie protezioni di Apple per monitorare in modo silente le attività dell’utente sullo schermo dell’iPhone. Se non protetta a dovere dalla stessa Uber, questa autorizzazione potrebbe essere sfruttata anche da hacker per scoprire le password e i dati personali degli utenti. Sembra, però, che Apple controlli direttamente questa autorizzazione, vietando l’accesso ai dati al di fuori dell’app Uber.
La stessa Uber garantisce che questa autorizzazione è stata utilizzata solo per migliorare le prestazioni della relativa app per Apple Watch. Strafach ha anche cercato eventuali falle, senza scoprire alcun tipo di problema o di uso “malevolo” dell’autorizzazione da parte di Uber.
Nello specifico, un portavoce Uber ha dichiarato che “Questa autorizzazione a registrare lo schermo dell’iPhone è stata utilizzata solo per inviare il rendering delle mappe dallo smartphone all’applicazione per Apple Watch. Questa funzione è stata già rimossa da precedenti update di iOS e non è più consentita da Apple. Presto rimuoveremo le relative API dal nostro codice. In ogni caso, l’autorizzazione concessa da Apple permette solo di condividere il rendering delle mappe e non di accedere alle altre schermate dell’app o addirittura a quelle dell’iPhone”.
Uber ha utilizzato questa autorizzazione soprattutto per far funzionare l’app nel primo Apple Watch lanciato nel 2015. Da allora, sembra che non ci siano stati altri utilizzi di questo tipo.