Приложение Uber запросило доступ к истории браузера, закладкам и запущенным приложениям

    Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).

    Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.

    «Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.

    На странице Android Permissions в списке запрашиваемых разрешений нет истории посещённых страниц браузера, закладок и запущенных приложений. Судя по всему, здесь указан список для последних версий Android (Lollipop и выше).

    Список разрешений

    Текущая версия Uber для Android в каталоге Google Play датируется вчерашним днём (16 апреля 2016 г) и имеет тот же номер 3.98.2.

    Нужно заметить, что хотя при установке апдейта и запрашиваются все указанные разрешения, в реальности текущая версия не имеет функциональности для доступа к конфиденциальной информации, только к списку запущенных приложений (GET_TASKS), так что волноваться нет особых причин. С другой стороны, однажды получив такие разрешения, в следующих версиях после автоматического обновления соответствующая функциональность, теоретически, может появиться.

    Экран установки с запросом всех этих разрешений из группы Device & Apps действительно выглядит странно, но пока что опасаться нечего. Сложно представить, что у частной компании Uber есть хитрый план по сбору приватной информации о пользователях и продаже этой базы.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 58

      +13
      > Сложно представить, что у частной компании Uber есть хитрый план по сбору приватной информации о пользователях и продаже этой базы.
      Зато достаточно легко представить, что такой хитрый план есть у спецслужб, которые в обмен на эту информацию позволят компании нормально работать в соответствующей стране. Не секрет, что деятельность Uber во многих странах мягко говоря, не приветствуется.
        +7
        И то, что в андроиде пользователь не может выборочно выключать разрешения — тоже происки спецслужб?
        У популярного в России магазина электронных сигарет есть приложение для заказов — так оно вообще все возможные разрешения требует. Вот сиди и думай — спецслужбы проискивают или просто идиот приложение писал.
          +4
          Может же. Правда только начиная с Marshmallow.
            +4
            Или root + Xposed + Xprivacy.
              0
              Но всё же рутуют свои устройства далеко не все. Так что для обычного пользователя основной вариант — встроенные функции.
              0
              Проблема в том, что некоторые приложения после того, как им откажут в предоставлении какого-либо разрешения обижаются и отказываются работать (Google Keep как пример)
                +3
                Xprivacy, например, позволяет не отказывать, а просто подсовывает ложную информацию. Пустой список контактов, рандомное местоположение и т.д.
                  +1
                  Да, просто в описаном случае «родной» способ управления разрешениями по сути теряет смысл. Я знаю фишку xprivacy, сам ей пользуюсь, просто обидно как-то.
                    +3
                    Станет гугл портить себе монетизацию.
                  +2
                  Поэтому правильный подход — не только не давать доступ, но и подменять искомые данные болванкой.
                    0
                    В таком случае приложение может сравнивать полученные данные с балванкой и также обижаться
                      0
                      Можно болванку ему новую давать поиграться периодически, чтобы не обижалось.
                  +1
                  Еще в каком-то из 4.4.X был App Ops, но его выпилили
                  • НЛО прилетело и опубликовало эту надпись здесь
                  –1
                  Это всё понятно. Но, если честно, как же задолбали вот эти все спецслужбы, государства, террористы, права доступа и вся эта фигня. Это современный мир, с этим почти ничего не поделать. В моём идеальном мире будущего приложение Убер, или там Гугль, или что-то там ещё, снабжённое искусственным интеллектом, будет иметь доступ ко всей доступной информации, и соверешенно автоматически из анализа истории и местоположений выяснит, что я лечу домой из командировки, автоматически подгонит мне такси, попутно выяснит, что супруга с детишками гостят у бабушки, соответственно холодильник пуст и к приезду закажет любимую пиццу по-неаполитански с пивом, которое я обычно употребляю, и всё это вообще без всяхих телодвижений с моей стороны, без сбоев и побочных эффектов в виде использования данных обо мне не по прямому назначению. Жаль, не доживу.
                    +17
                    Однажды посещённая ссылка на смешную gif-ку про резиновые дилды может превратить вашу жизнь в кошмар просто потому, что умная система вдруг решит, что вы их ищите. А случайно щёлкнув по одному из баннеров про конный спорт вы вообще с удивлением обнаружите дома свёрток, подозрительно напоминающий конячую дилду, т.к. система на основе ваших предпочтений уже сгоняла курьера в ближайший секс-шоп и любезно приобрела конячью дилду. И тут заходят бабушка с детьми, в у вас в руках этот свёрток. Что-то пошло не так? Нет, просто вы слишком доверились системе.
                      0
                      Это всё относится к сбоям системы. Я это и сегодня наблюдаю — купил пылесос через интернет и мне ещё месяц втюхивают в рекламе пылесосы, вместо того, чтобы втюхивать фильтры именно к тому пылесосу, который я купил.
                      Вот сейчас «Интернет вещей» в тренде. Для меня «Интернет вещей» — это когда этот самый пылесос автоматом закажет сам себе расходники. Однако низкое доверие системе (когда система не вправе знать о покупках и адресе доставки) вкупе с невозможностью реализовать гибкую логику (ИИ пока не существует) пока что убивают всё это на корню, а в переходный период приведут к доставке конячьих дилд.
                      Я в общем-то не страдаю паранойей — как-то в отпуске для пробы разрешил передачу всего и вся, что было возможно, в надежде, что гугль, который «now» будет предлагать мне рестораны и развлечения в округе — фиг там, сервис тыкал пальцем в небо.
                        +5
                        Интернет вещей — это что-то типа рынка продуктов, где картошка и капуста сами торгуются и выбирают себе покупателя (но за его деньги). А когда ты приносишь их домой, они ещё и сообщают своим на рынок «пацаны, судя по обстановке, он зарабатывает не меньше 150к, обратите на него внимание». Короче, маркетинговый высер под прикрытием красивых лозунгов.
                        • НЛО прилетело и опубликовало эту надпись здесь
                        +8
                        Это всё прекрасно ровно до того момента, как ваши взгляды на правильную жизнь не разойдутся с таковыми взглядами у государства.
                        0
                        Про спецслужбы 5 дней назад было:
                        Uber выдал властям США данные о 12 млн пользователей и опубликовал свидетельство канарейки

                        Похоже, что спецслужбы заказали новую функциональность для приложения Uber.
                        +3
                        Все эти проблемы с разрешениями легко решить, достаточно добавить в android возможность отключать доступ к различным функциям. Убрал доступ к SMS — приложение получает пустой список сообщений.
                          +1
                          Вот только ни кто на это не пойдет (и уже много лет эта проблема игнорируется), потому что, несмотря на заплаченные за устройство денги, все пользователи являюься всего лишь ходячими кошельками. В магазине огромное количество приложений (в том числе и топовых) требуют разрешений, которые нужны только создателям этих приложений и большинству на это наплевать.
                            +1
                            А как в iOS дела обстоят? Расскажите, пожалуйста, т.к. никогда с этим дела не имел.
                              +2
                              В iOS при первой попытке доступа например к фотографиям появляется запрос и запоминается, потом в настройках можно поменять свое решение. Есть правда ограничение по геолокации, если приложение хочет доступ к координатам всегда, а не только когда ты с ним работаешь, нет возможности разрешить доступ только на момент работы с приложением.
                                –1
                                В настроках приватности же можно поменять установки геолокации по отдельным приложениям.
                                  +1
                                  Не всегда, например приложение от билайна, ему можно поставить либо разрешить всегда, либо запретить, а варианта только при использовании приложения нету.
                                  0

                                  Уже есть.

                                    0

                                    del

                                    0
                                    Несколько лучше, но не идеально: приложение запрашивает разрешения не при установке, а при первом обращении к ресурсам, и приложению можно отказать в доступе или отозвать позже разрешение в настройках.
                                    Не идеально в том плане, что когда хочешь отправить фоточку в чатик, приходится давать чатику доступ ко всем фотографиям, без возможности выбрать лишь одну. А на следующий день этот чатик вдруг показывает вам коллаж из сделанных за неделю фотографий и предлагает из опубликовать.
                                      +1
                                      После однократного использования можно снова отключить доступ в системных настройках приватности. Не самый лучший вариант, но рабочий. Всё ж нечасто такие ситуации возникают.
                                        +1
                                        Возникают постоянно: я бы хотел ограничить доступ к контактам приложению WhatsApp — мне не нужны там 200 человек, хватило бы и 10, которые мне иногда пишут, и я бы хотел добавлять их поштучно, а не давая приложению доступ ко всей адресной книге. Аналогично с ICQ — у них есть удобная фича инициации чата через SMS с человеком, у которого нет ICQ, но я не хочу, чтобы mail.ru знал список моих контактов, хватило уже, что его знает Facebook через WhatsApp.

                                        Но проблема эта не ограничивается смартфонами, на ПК всё аналогично — вы даёте приложениям полный доступ ко всем своим данным в пользовательской папке, без возможности его ограничить. На смартфонах проблему проще решить, но Эпл не захочет этого делать, чтобы не усложнять интерфейс, а Гугл не захочет, потому что продажа пользовательских данных — его хлеб.
                                    0
                                    В андроид с версии 6.0 можно включать и выключать разрешения для каждого приложения. Для получения разрешения приложение должно получить подтверждение от пользователя.
                                    0

                                    Разве это не добавили в 6.0?

                                      +1
                                      В MIUI это точно есть ещё с JellyBean'а, в 2013 году как раз купил свой первый телефон от Xiaomi. Сейчас там установлен Lolipop, управление разрешениями есть. К сожалению скриншот только ссылкой imgur.com/uKF7LOW
                                      0
                                      В андроиде как раз таки есть такая возможность, вот только большинство приложений при отключении доступа к каким либо функциям просто перестают работать.
                                        +1

                                        нужно не закрывать доступ а отдавать фейковые данные

                                        0

                                        Сколько может стоить разработка такого функционала?
                                        Я серьезно, если слишком дорого — краудсорсинг, если подъемно… я бы заплатил
                                        p.s. жаль что без opensource ценность этого решения низкая, а значит на ее продаже даже отбить разработку будет сложно.


                                        p.p.s. интересно lxc или аналоги для android реален? чтобы даже root приложения (типа google инфраструктуры) в песочницу посадить (я знаю что lxc не достаточно надежная)

                                          +4
                                          Такое возможно в CyanogenMod. Настройки -> Конфиденциальность -> Защищенный режим
                                            +1
                                            Для рутованных телефонов есть модуль к xposed, который называется xprivacy, именно этим и занимается.
                                              0
                                              Есть только один минус: это все ставить хуки на Java вызовы, когда как некоторые приложения используют еще и нативные библиотеки. Тут Xprivacy может лишь запретить к ним доступ… Ну и требуется некоторое понимание что рубить, а что — нет.
                                            +2
                                            Слуште, а нельзя ли организовать что-то типа виртуальной машины на своём гаджете и поднять там Убер. И пусть он в пределах этой машины получает себе доступ к чему угодно, жалко что ли?
                                              +4
                                              В Android уже давно (вроде как с 4-го Андроида для планшетов, и с 5-го для телефонов) можно завести несколько пользователей. Профили пользователей полностью изолированы (свои приложения, свои данные и т.д.). Я очень удивлён, что на этом гиковском ресурсе об этом мало кто знает, и предлагает выше какие-то LXC, виртуальные машины и вообще жалуются на Андроид, хотя вроде нужные функции уже есть, и работают просто, стабильно, и быстро.
                                              Начиная с Android 6 сделали полноценное управление разрешениями.Опять же удивлён, что комменты в стиле «Гугл никогда этого не сделает, так как Зло, Спецслужбы, Капитализм» набирают плюсики, так как управление разрешениями было анонсировано ещё год назад на Google I/O, и с тех пор уже многие девайсы её получили.
                                                0
                                                Про управление доступом знал, а про пользователей нет. Большое спасибо.
                                                  0
                                                  В большинстве телефонных прошивок для того, чтобы можно было управлять пользователями, нужен root. Из коробки такое только на планшетах.
                                                    0
                                                    Начиная с Андроид 5 и на телефонах, никакого рута не надо:
                                                    http://www.androidcentral.com/lollipop-brings-proper-multi-user-accounts-your-phone
                                                    А если производитель телефона убирает эту функцию из прошивки — ну, не надо покупать такие телефоны. Так как это плохой производитель, который убирает полезные функции, а добавляет в телефон кучу adware и spyware.
                                                      +4
                                                      По вашей ссылке пишут следующее:
                                                      Uninstalling an app on one account uninstalls it on all accounts
                                                      Accepting new permissions for an app on one account accepts them across all accounts
                                                      Получается не такие уж и изолированные профили?
                                                    +1
                                                    Ну видимо потому, что в жуткой-мерзкой-закрытой iOS управление разрешениями тихо существует и прекрасно работает аж с 2012 года, а Гугль, похоже, просто сдался. На западных ресурсах одно время прямо наметился тренд — везде отсутствие штатной системы разрешений ставилось в упрек Android (в сравнении с iOS), припоминали «выпиливание» подобной функциональности из Android 4.4. Ну, впрочем, теперь можно преподносить это как великое благо и Добро от Корпорации Добра с большой буквы «дэ» — аж для 4.6% пользователей «зеленого робота», согласен.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                        0
                                                        Если 6 нет, то как мне сейчас удалось ответить вам с планшета под управлением андроид 6.0.1?
                                                          0
                                                          Здрасьте… На Nexus 5 уже полгода или около того сижу под шестым андроидом.
                                                      0
                                                      Думаю, они хотят знать, используются ли приложения или сайты конкурентов на устройстве. Вряд ли уж они так явно афишировали бы сотрудничество со спецслужбами. Да и список разрешений был бы еще поболее того, наверное.
                                                        –1
                                                        Так недавно же Uber убрал свидетельство «канарейки» — так что отлично коррелируют эти два события http://www.bbc.com/news/technology-36027406
                                                          +2
                                                          Reddit убрал, Uber добавил. Вы бы хоть свои же ссылки читали.
                                                          +2
                                                          Лично мое знакомство с Убером закончилось на этапе регистрации, когда они потребовали данные кредитки даже раньше, чем показали мне интерфейс системы. Нажал крестик и забыл.
                                                            –1
                                                            Ты не из Ростова? Ник знакомый. Я на UBER перешел с Лидера. Очень нравится. Плачу на 20-50р больше. Но машины всегда хорошие. Не нужно связываться в наличкой.
                                                            0
                                                            Пользуюсь Uber через мобильную версию.
                                                            m.uber.com
                                                            Для этого нужно запросить доступ здесь:
                                                            help.uber.com/ru_RU/h/1ed2c9ac-daad-4413-91ee-09c8aefec8da
                                                              +1
                                                              Они запрашивают, чтобы if(tasks.find(x=>x.Name.Contains('gett','yandex.taxi')) price+=100500? (или минус или task_kill)

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое