Uber a souvent flirté avec les frontières de la légalité dans son application iOS. Travis Kalanick, l'ex-CEO du service de VTC, s'était fait sérieusement remonter les bretelles par Tim Cook pour infraction à plusieurs règles de l'App Store. Cette fois, on apprend par le chercheur en sécurité @qwertyuiop qu'Apple a autorisé Uber à exploiter une API privée permettant à l'application d'enregistrer l'écran de l'iPhone, sans que l'utilisateur ne soit au courant.
Si cette interface de programmation est privée, c'est qu'elle n'a pas vocation à être exploitée dans une app destinée aux utilisateurs publics. Dans le cas qui nous intéresse, Uber n'a pas joué avec le feu puisque c'est Apple qui a donné son feu vert à l'utilisation de cette API, et seul Uber a pu exploiter cette interface.
D'après ce qu'on comprend de la discussion qui s'est engagée sur le sujet entre le chercheur Will Strafach (alias @chronic) et Melanie Ensign, responsable sécurité et confidentialité chez Uber, cette API a été utilisée dans un cadre bien particulier : diffuser sur l'écran de l'Apple Watch les cartes Uber générées depuis l'iPhone, à une époque où watchOS ne pouvait pas accomplir une telle prouesse. L'API servait donc à récupérer ce qui s'affichait dans l'app iOS pour la présenter sur la montre.
L'API en question ne sert désormais plus, et elle a été supprimée de l'application Uber.
Source :
