Uber : Apple a permis à l'entreprise de bénéficier d'une porte dérobée afin d'enregistrer l'écran de l'iPhone
Sans informer les utilisateurs

Le , par Coriolan, Chroniqueur Actualités
L’application iPhone d’Uber a eu un accès secret à de puissantes fonctionnalités d’Apple, permettant à l’application de l’entreprise américaine de VTC de pouvoir potentiellement enregistrer l’écran et avoir accès à d’autres informations personnelles à l’insu des utilisateurs.

L’existence de cette porte dérobée à des fonctionnalités spéciales de l’iPhone n’a pas été révélée dans la description de l’Application d’Uber, malgré le fait qu’elles auraient permis à l’entreprise d’avoir accès à des fonctionnalités tellement puissantes qu’Apple ne les laisse jamais à la portée d’autres entreprises tierces.


À ce stade, il n’y a pas de preuves tangibles qui montrent qu’Uber a exploité cet accès pour tirer avantage de ces fonctionnalités de l’iPhone, mais cette porte dérobée soulève malgré tout des questions sur l’entreprise de VTC qui est déjà impliquée dans de nombreux scandales et investigations sur ses pratiques commerciales.

Uber a informé Business Insider que le code dans l’application qui permet cet accès n’est pas utilisé actuellement et qu’il constitue surtout une trace qui remonte à une ancienne version de l’application destinée à l’Apple Watch. De leur côté, les experts de sécurité s’alarment en raison de l’existence d’une telle fonctionnalité sans prévenir les utilisateurs.

« Octroyer un tel privilège à une partie tierce est du jamais vu à ma connaissance, aucun autre développeur d’applications n’a été en mesure de convaincre Apple de lui attribuer des privilèges pour permettre à leurs applications d’accéder à certaines fonctionnalités spéciales du système, » a dit Will Strafach, un chercheur en sécurité qui a découvert l’existence de cette porte dérobée.

Comment ça marche ?

Presque toute application de l’iPhone utilise ce qui est appelé “entitlement” — qui constitue un moyen pour les applications d’avoir accès à des fonctionnalités comme la caméra ou Apple Pay sur les iPhone et iPad. La plupart de ces fonctionnalités peuvent être trouvées et activées facilement par les développeurs tiers.

Mais il y a certaines fonctionnalités qui sont réservées à Apple, qui permettent aux applications de la firme d’être mieux intégrées avec l’iPhone. Ces privilèges sont marqués par des noms qui commencent par “com.apple.private,” et ils sont considérés comme étant sensibles ; Apple rejette presque toujours tout développeur tiers de l’App Store si jamais il les utilise.

Après avoir fouillé dans le code de l’application d’Uber, Strafach a découvert qu’elle utilise une fonctionnalité appelée “com.private.allow-explicit-graphics-priority.”

« Il est étrange de voir qu’Uber est la seule application (j’ai vérifié des dizaines de milliers d’autres applications en utilisant la base de données interne de mon entreprise qui est issue de l’App Store) à côté des autres applications d’Apple à avoir accès à cette fonctionnalité sensible, » a dit Strafach dans un email. Une autre source a confirmé qu’aucune autre application du top 200 des applications gratuites de l’App Store n’exploite ces privilèges du système d’Apple.

Uber a informé qu’elle a reçu la permission d’Apple pour utiliser ce privilège, l’entreprise a pu l’exploiter dans une version antérieure de l’application destinée à l’Apple Wach afin de pouvoir afficher les cartes sur l’iPhone. Toutefois, cette fonctionnalité n’est plus utilisée, a dit l’entreprise.

Selon une représentante d’Uber, Apple aurait donné cette permission à Uber en raison de l’incapacité de l’Apple Watch à manipuler de façon adéquate le niveau de rendu de cartes dans l’application Uber. Toutefois, des mises à jour ultérieures de la smartwatch d’Apple et de l’application ont enlevé cette dépendance et l’entreprise travaille toujours avec Apple afin de supprimer cette API une fois pour toutes.

Selon le chercheur en sécurité Thomas Jansen, Uber a eu la possibilité d’enregistrer l’écran de l’utilisateur sans le prévenir, c’est pourquoi Apple ne permet pas à toute entreprise d’avoir accès à ce genre de fonctionnalités. La firme de Cupertino n’a pas commenté sur l’affaire, mais une raison pour laquelle elle aurait décidé d’octroyer ce privilège à Uber est de s’assurer que l’application du service de VTC soit présentée sur scène lors du lancement de l’Apple Watch en 2015, en effet, Uber a fait partie du lot des applications lancées avec la smartwatch.

Uber : une histoire mouvementée

Cette découverte fait polémique en raison de l’histoire mouvementée d’Uber, l’entreprise n’a pas daigné par le passé à mettre en place des tactiques et techniques qui ne respectent pas la loi et l’éthique du travail. Pour ne citer que ces derniers, Uber aurait manipulé les données de navigation pour reverser moins aux chauffeurs et faire payer plus aux passagers. L’entreprise a admis également avoir utilisé des techniques de machine learning pour augmenter ses tarifs pour certains clients dans certaines villes des États-Unis. Et elle a eu recours à des techniques de data mining pour duper les forces de l'ordre dans les villes où son service a été banni.

Les déboires d’Uber ne se sont pas arrêtés là, puisque l’entreprise avait mis en place un système permettant d'identifier des iPhone qui avaient été réinitialisés et/ou qui avaient vu l'application Uber désinstallée puis réinstallée, une manœuvre de détection de fraude qui enfreint les règles de confidentialité d’Apple.

Uber est allé jusqu'à modifier le logiciel pour s'assurer que quiconque accédant à Uber depuis le siège d'Apple verrait une version différente de l'application, c’est-à-dire sans ces portions de code qui lui permettaient de faire ces repérages, en utilisant une pratique dite de géoblocage.

Apple ayant découvert le pot aux roses, son PDG s’est chargé de rappeler durement à son homologue que cela enfreignait les règles de confidentialité de l'App Store. « Donc, j'ai entendu dire que vous ne respectiez pas certaines de nos règles », aurait dit Tim Cook à Travis Kalanick, menaçant ce dernier de la plus lourde sanction sur l’App Store : la suppression de l’application Uber du portail de téléchargement.

La réunion de Tim Cook avec Kalanick a probablement eu lieu au début de 2015, durant la même période de lancement de l’Apple Watch.

« Je pense qu’il existe une sorte de relation extrêmement spéciale, si on considère qu’Apple leur a accordé de façon exclusive l’accès à une API IOKit privilégiée alors qu’ils étaient en train d’abuser d’autres API IOKit tout en violant les règles de l’App Store (sans répercussions du tout), » a ajouté Strafach.

Malgré leur différend, le PDG d’Uber a continué à voir et se réunir avec Tim Cook, des documents liés à une poursuite judiciaire montrent qu’une réunion a eu lieu en mai 2016. Apple est devenu un investisseur d’Uber suite à son investissement dans l’entreprise chinoise Didi Chuxing. En 2016, Didi a fusionné avec la filiale chinoise d’Uber.

Kalanick n’est plus le PDG d’Uber. Le PDG actuel de l’entreprise, Dara Khosrowshahi n’a pas toujours adressé en public la relation de son entreprise avec Apple, mais il a parlé de la culture de l’entreprise qui consiste à contourner les règles. Un changement récent dans iOS a empêché Uber de collecter des données sur la localisation de l’utilisateur sans indicateur visuel.

Source : Business Insider

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Uber : la justice américaine aurait lancé une enquête criminelle contre la société, suite à l'utilisation d'un logiciel pour échapper aux autorités
Uber poursuivi en justice pour invasion illégale de la vie privée des chauffeurs de Lyft avec son programme de surveillance Hell


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de air-dex air-dex - Membre émérite https://www.developpez.com
le 06/10/2017 à 18:15
Uber a accès aux données de géolocalisation, et donc à un certain niveau d'intimité. M'est avis que ça leur a sans doute permis de constituer des bons gros dossiers des familles sur certains, et qu'ils ont dû s'en servir pour faire pression. Je ne serai pas étonné qu'il y ait eu des négociations du style "donnez-nous accès à telle ou telle chose sur les iPhones sinon on dévoile que..." dans l'affaire qui nous intéresse ici.
Avatar de abbe2017 abbe2017 - Membre averti https://www.developpez.com
le 06/10/2017 à 22:03
oh moi plus rien ne m'étonne.

quand tu vois que les principales appli des journaux (lemonde,figaro,marianne) ont accès à la liste de contact des téléphones accès, accès aux fichiers stockés....

quand ils choppent un scoop, faut pas chercher midi à 14h l'indique, la source.... l'appli fait tout pour voler discretement les infos privés des personnalités, des hommes politiques, des starts...
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 06/10/2017 à 22:31
C'est complètement dégueulasse. Jusqu'où ira l'audace des marketeux et de Uber !
Uber est coupable.

Mais Apple joue drôle de jeu :
  1. Apple dispose de cette API. Qu'en fait-elle elle même ? /!\ Ah oui, une meilleure expérience utilisateur. Hummm...
  2. Peut-être que l'accès à cette API est accordée secrètement à d'autres (CIA/NSA/...) directement aux intéressés si non au travers d'appli anodines. Qui sait ?
  3. Peut-être par d'autres tout autant non recommandables comme Uber et en dehors des rails de l’orthodoxie Apple (et surtout du respect des utilisateurs).
Même si après coup, se rendant compte de la dérive, ils semblent avoir rectifié le tir. La théorie du complot n'est pas loin. (Snowden sort de ce corps)

Si cette API existe, elle doit bien avoir une raison,
même si Business Insider _que je respecte_ n'a pas trouvé d'autres applis utilisant l'API.

Bien sur, les concurrents ne sont pas plus vertueux. Mais pour une entreprise (Apple, pas Uber) qui veut baser sa réputation sur la sécurité et le respect des utilisateurs, c'est une fois de plus raté.
Pourquoi cette API si personne ne semble l'utiliser ?
Ben c'est qu'elle est quand même utile à certains. Non ?


J'entends par avance les critiques des FanBoys. Mais à quoi sert cette API qui semble si sévèrement gardée que personne ne l'utilise désormais ou ne peut plus l'utiliser ?
Poser la question n'est-ce pas y répondre ?
Avatar de joublie joublie - Membre averti https://www.developpez.com
le 07/10/2017 à 6:31
Comme disait Bernard Tapie, dans les affaires la morale on s'en accomode, et manifestement chez uber et apple on sait y faire.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 08/10/2017 à 12:03
il fut un temps on microsoft était condamné parce qu'il favorisait l’intégration de ses application.

Apple et Google vont t'lls être condamnés pour des trucs similaire ? j'ai un doute ...
Avatar de Phago Phago - Membre régulier https://www.developpez.com
le 09/10/2017 à 11:01
J'ai l'impression que les médias font encore du buzz pour rien du tout. Il y a des SDK sur le web qui font du screen recording en toute légalité depuis un bout de temps (AppSee que j'ai pu tester pour ne citer qu'un seul exemple) mot de passe compris mais personne ne semble en parler et pas besoin de allow-explicit-graphics-priority.
Avatar de abbe2017 abbe2017 - Membre averti https://www.developpez.com
le 09/10/2017 à 13:14
une fois, j'avais vu une application célèbre et populaire (je ne dirais pas le nom), qui avait besoin d'acceder au carnet d'adresses (liste de contact).
ça m'a titillé, J'avais cherché partout dans l'appli quel truc avait besoin de cela et je n'ai rien trouvé. alors j'ai contacté le service technique pour savoir quelle était la fonctionnalité essentielle de l'appli qui avait besoin de cette permission (qui disons-lefranchement, permet de te piquer ton agenda, contact et de voir tes amis, ce que tu fais..).

elle m'avait indiqué (j'ai oublié laquel) tel truc, je lui avais alors envoyer la preuve technique qu'on pouvait faire de même sans la permission de lister les contacts et l'agenda., elle a cloturé le ticket...
depuis l'appli populaire est toujours en liberté et la permission toujours là au plaisir des yeux de l'éditeur....
Avatar de sekhmet sekhmet - Membre à l'essai https://www.developpez.com
le 12/10/2017 à 14:55
très confus comme article, ça part dans tous les sens, mélange des infos de 2015, parle de procès, du licenciement du PDG d'Uber, bref d'une tonne de chose.
Juste pour etre clair, une porte dérobée et une API privée c'est pas la même chose du tout. Porte dérobée sous-entend dispositif secret qui veut passer outre le fonctionnement normal du système dans un but souvent d'espionnage. une API privé c'est juste un bloc de l'OS dont le constructeur ne diffuse pas les spec et qu'il veut garder pour son propre usage.
Autre point qui sent BEAUCOUP le coup d'épée dans l'eau c'est le passage qui dit que c'est une trace de l'utilisation d'API privée qui n'est même pas activé et qui daterait des premières version de WatchOS.
est-ce que ça pourrait tout simplement pas être un bout de code utilisé à but de débug à un moment donné ?
si c'est pour afficher le contenu de l'écran de la montre ça aurait bien du sens d'imaginer que le dev voulait tout simplement travailler confortablement en ayant un monitoring de ce qu'il se passe sur la montre...
enfin tout ça sent la montée en épingle de pas grand chose.
Avatar de petitours petitours - Membre confirmé https://www.developpez.com
le 12/10/2017 à 15:25
En même temps arnaquer les gens c'est l'essence même de Apple ventre 3k€ un truc qui en vaut 1 ou 1.5 (cf L'économie de la cupidité et la psychologie du bonheur)
ventre 1 truc à 3k€ en faisant payer en option le chargeur... (là perso je trouve qu'on était déjà plus dans le luxe mais dans le foutage de g...)

Logiquement ce comportement d'Apple ne devrait pas choquer les utilisateurs de leurs produits.
Avatar de Daranc Daranc - Membre émérite https://www.developpez.com
le 12/10/2017 à 17:08
Oh ! que c'est pas bien
Oh que c'est vilain
Apple , vous êtes sûr
mais mais y'aurait-y-pas du $$$$ à la clef
Offres d'emploi IT
Ingénieur Développement logiciel H/F
Safran - Ile de France - Massy (91300)
Automaticien ISTQB
AUBAY - Ile de France - Paris (75000)
CONSULTANT SHAREPOINT
AS INTERNATIONAL GROUP - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil