Uber-App: Screenshots vom iPhone ohne Wissen des Nutzers möglich
Der Fahrtendienst Uber schreibt erneut Negativschlagzeilen. Anscheinend hat Uber von Apple die Berechtigung “com.apple.private.allow-explicit-graphics-priority” erhalten, die der App einen direkten Zugriff auf das Display erlaubt. Das bedeutet, dass die Uber-App praktisch Screenshots vom Displayinhalt schiessen darf und kann, ohne Wissen des Nutzers und sogar selbst dann, wenn die App geschlossen ist.
Diese Art von Berechtigung kommt einem “God”-Mode gleich und bedarf von Apple einer äußerst speziellen Erlaubnis. Ein solches "private entitlement" ist normalerweise nur zur internen Verwendung bei Apple selbst gedacht und nicht für Drittanbieter nutzbar. Auch ist die Berechtigung "com.apple.private.allow-explicit-graphics-priority” in Apples Developers Guide gar nicht dokumentiert und somit für normalsterbliche Entwickler tabu. Wieso Apple gerade Uber, die in der Vergangenheit bereits mehrfach negativ durch diverse unlautere Verschleierungsmethoden aufgefallen und beinahe aus dem App-Store geflogen sind, diese spezielle Art von Berechtigung vergeben hat, ist nicht bekannt. Laut einer Sprecherin von Uber wurde diese Funktion bereits aus der App entfernt und anfangs nur dazu eingesetzt, um Uber-Karten zuerst vollständig am iPhone zu rendern, bevor sie auf der Apple Watch angezeigt wurden.
API was used to render Uber maps on iphone & send to Apple Watch before Watch apps could handle it. It's not in use & being removed. Thx! (Melanie Ensign via Twitter)
Dies ist nicht das erste Mal, dass Uber mit einer äußerst fragwürdigen Einstellung zur Privatsphäre seiner Kunden negativ auffällt. Bereits mehrmals versuchte das Unternehmen über Jahre hinweg, den digitalen Fingerprint der iPhones aufzuzeichnen, um Geräte, selbst nach der Löschung der App, noch eindeutig identifizieren zu können. Dieses Spiel von Uber mit der Privatsphäre beschrieb auch Kevin Mitnick, ein ehemaliger US-amerikanischer Hacker, der vor allem durch seine Social Engineering-Fähigkeiten in den 90er-Jahren bekannt wurde, in seinem neuesten Buch “The Art of Invisibility”.
Zur Aufzeichnung dieses Fingerprints hatte sich Uber der UDID ("Unique Device Identifier") bedient, einer einzigartigen Gerätenummer des iPhones, bis Apple 2013 diese Funktion aus Datenschutzgründen deaktivierte. Danach fand Uber eine andere Möglichkeit, Geräte auf Dauer eindeutig zuordnen zu können, und versuchte dies vor Apple geheim zu halten, indem diese unerlaubte Zuordnung sogar mittels Geofencing im näheren Umkreis von Apples Hauptquartier deaktiviert wurde. Uber wollte offenbar verhindern, dass Apple-Mitarbeiter bei einer App-Überprüfung darauf stoßen könnten.
Aufgeflogen ist das Ganze trotzdem, nur ein persönliches Gespräch zwischen Apple-Chef Tim Cook und Uber-Gründer Travis Kalanick im Jahr 2015 soll den Rauswurf der UBER-App aus dem Apple App-Store verhindert haben. Was ein Ausschluss aus der Apple-Welt bedeutet hätte, das kann sich jeder vorstellen. Mit einem Schlag hätte Uber Millionen von iPhone-Usern als Kunden verloren.