iOS-приложение Uber отправляет GPS-координаты даже с выключенной геолокацией

Последняя версия приложения для вызова такси Uber v3.275.10002 отслеживает GPS-координаты пользователя даже когда на устройстве отключена геолокация. Об этом сообщил исследователь безопасности Грегори Пэрри (Gregory Perry).

По словам исследователя, данный функционал был обнаружен в ходе реверс-инжиниринга приложения Uber для iOS. Эксперту удалось обойти защитные сертификаты, перехватить трафик между приложением и сервером Uber, а затем дешифровать его.

Перед началом эксперимента исследователь отключил геолокацию на своем iPhone, после чего открыл приложение Uber и выбрал опцию «Ввести местоположение вручную».

Проанализировав трафик, отправленный приложением, эксперт обнаружил два разных набора координат. Один из них был случайным адресом, который Пэрри ввел в Uber, однако второй представлял собой данные о реальном местоположении исследователя, несмотря на то, что геолокация по-прежнему была отключена.

«Итак, есть пара вариантов происходящего, и я не хочу делать поспешных выводов, однако сейчас мы располагаем следующей информацией: iPhone под управлением iOS 11.2.1 с последней версией приложения Uber v3.275.10002, отслеживает ваше местоположение с выключенной геолокацией. Приложение постоянно отправляет на сервер координаты пользователя, такие как высота, широта и долгота», - отметил исследователь.