Concernant les droits des applications iOS, Apple est particulièrement strict avec les développeurs. Si elles sont nombreuses à avoir accès à nos contacts ou nos photos, il leur est strictement impossible d’intercepter les informations qui s’affichent sur l’écran de l’iPhone. Très intrusive, cette possibilité est réservée aux applications d’Apple… et à Uber. Ce privilège a été découvert par le chercheur Will Strafach, à la tête de l’entreprise Sudo Security.
https://twitter.com/chronic/status/915288757754109952
Une exception liée à l’Apple Watch
Sur son compte Twitter, il affirme avoir été interpellé par la présence de la ligne de code « com.apple.private.allow-explicit-graphics-priority », qui offre à Uber la permission d’accéder au contenu de l’écran de l’iPhone, même lorsque l’application tourne en tâche de fond. Une permission qu’Apple n’avait encore jamais accordée à une appli tierce, comme l’explique le spécialiste au site américain Gizmodo.
Toujours sur Twitter, Strafach a reçu une réponse de Melanie Ensign, en charge de la sécurité des communications chez Uber. «L’API a été utilisée pour afficher les cartes Uber sur l’iPhone et les envoyer sur l’Apple Watch avant que les applications de la montre ne puissent le faire par elles-mêmes», explique-t-elle, faisant référence à la première version de l’Apple Watch sortie en 2015. Indirectement, Ensign confirme donc qu’Uber a potentiellement accès à tout ce qui s’affiche sur nos iPhone depuis deux ans et demi. Dans son message, elle précise que ces droits ne sont plus exploités et sont sur le point d’être supprimés.
API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It's not in use & being removed. Thx!
— Melanie Ensign (@iMeluny) October 5, 2017
Surtout, elle précise le contexte dans lequel a été accordée cette autorisation: Uber fut l’une des premières applications à être intégrée à l’Apple Watch au moment de sa sortie. Pour être en mesure de présenter cette fonction clé lors de la keynote de lancement, les équipes de Tim Cook auraient donc fait une entorse à la protection de notre vie privée.
Des droits mis en sommeil
Pour le moment, personne n’a pu prouver qu’Uber utilisait cette porte dérobée pour nous espionner. Mais la découverte a de quoi susciter l’inquiétude. Parfois peu regardant sur la protection de l’intimité de ses clients, Uber a déjà été pris la main dans le sac. En avril dernier, le New York Times révélait que la multinationale avait pisté les utilisateurs d’iPhone jusqu’en 2015, y compris ceux qui avaient supprimé l’application. Une convocation de son PDG dans le bureau de Tim Cook et une menace de retrait de l’App Store avaient mis fin à cette pratique.
En ayant accès aux contenus de nos écrans, Uber pourrait potentiellement espionner nos habitudes de consommation et de déplacement, y compris avec des services concurrents. Ces données sensibles auraient également pu faire l’objet d’un piratage par un tiers. En complément de la réponse de Melanie Ensign, un porte-parole d’Uber a déclaré à Gizmodo que ces droits sont « dormants » depuis que l’Apple Watch est capable d’afficher les cartes d’Uber par elle-même. De son côté, Apple n’a pas encore réagi.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.