据纽约时报报道,针对苹果CEO库克要求Uber停止通过iPhone追踪用户,Uber给出最新回应称追踪是行业里公认的防止诈骗和账户被盗的方式,并且强调他们所采用的侦测方式,其实就与一般用于在登入时保护使用者帐号的封锁机制相似,认为能够辨识出恶意用户对 Uber 或是用户而言都是一个相当重要的措施。
去年年底Uber就被曝出其App应用在进入后台运行的情况下可以继续追踪用户的位置信息。之后又有外媒曝出Uber通过fingerprinting(指纹)来追踪用户,并宣称即使用户已经将Uber应用从手机里卸载删除,追踪行为仍旧可以继续。
零镜网相关新闻链接:Uber这样的做法遭其库克威胁也是情理之中!
Uber被抓小辫子,库克亲自发出警告
据外媒报道,Uber开始在iPhone上面使用fingerprinting是为了在包括中国在内的地区加强预防诈骗。在因为司机可以通过在被盗的iPhone上注册多个账户,然后通过这些账户在Uber上叫车,以此冲高叫车业务量来获得Uber提供的奖励和补贴。
而苹果之前是允许开发者追踪用户的,但是必须通过独特的设备识别符(Unique Device Identifier,简称UDID),这种追踪方式是通过下载安装App来实现的,并且可能长期保持。但是随着苹果越来越重视用户的隐私,苹果从2013年开始强力反对UDID,并且开始将UDID替换成其他侵入性较小的追踪方式,包括供应商ID(vendor ID)和广告ID(advertising ID)。
根据纽约时报的报道,苹果在两年前就曾发现 Uber 通过应用程序来秘密追踪 iPhone 用户,即便在删除了应用程序之后还能够持续追踪,甚至刻意通过定位信息规避苹果总部人员的审查。苹果CEO库克因此还特意要求与Uber的首席执行官Travis Kalanick会面,直接警告称会将Uber从苹果的App Store中下架。
Uber当然无法冒险失去数量庞大的iPhone用户,所以关闭了相关的应用程序,但是Uber仍旧选择其他更隐蔽的方式来追踪用户。Uber给出的理由是希望由此避免恶意用户在盗取的手机上通过Uber软件用偷来的信用卡进行高额消费,并且不断地重设手机来再度运用。
专业人士解析Uber的追踪手段
针对Uber是如何追踪用户的设备的,来自Sudo Security Group的总裁Will Strafach向外媒详细解析了Uber在2014年底更新的App的追踪方式。
Uber强力装载了一个名为IOKit.framework的私人框架,从中加载了一些字符记号(symbols)通过设备注册进行重复运行(iterate),同时Uber利用已有的代码(code)从注册过程中获得不少用户信息。其中最有用的就是注册设备的系列编号(Serial Number),因为这就是长久可用的识别码。
Strafach认为在iOS 9和更高版本的系统中,这些框架和代码已经被iOS sandbox所屏蔽。Strafach表示需要明确的是:“其实最初担心的‘卸载后在追踪’的说法并不准确。至少这个例子说明追踪是在卸载和再安装之间进行的。但这也违反了苹果的相关规定,苹果也禁止了这些追踪手段(这就是为什么苹果溢出了能够获取UDID的API应用接口程序的原因)。”
为了不让苹果的工程师发现Uber的fingerprinting,传言Uber是通过对苹果总部进行了geofence来隐藏追踪过程中使用的代码。
Geofence功能是:当用户把他们的电脑设备带到一个特定的地理区域后,一些应用程序可以根据之前的设定而进行自我启动。也就是是说当苹果总部进行程序审查的时候,Uber的隐藏程序将会按照预先设定来自动运行。
不过这些小把戏最后还是被苹果的工程师识破,于是就有了库克警告Kalanick的场景。
Uber:我们是在保护用户!
虽然遭到了苹果的警告,但是Uber向外媒证实为了检测诈骗,Buer目前仍旧在使用一种设备指纹(device fingerprinting)程序。Uber的发言人介绍说,如果一台设备曾经被检测到有过诈骗记录的话,当这台设备再次申请注册的时候就会有警告提醒。Uber暗示这种fingerprinting模式是为了能够符合苹果的规定。
“如果用户已经卸载删除了的Uber的App,我们当然不会追踪用户个人或者他们的位置。就如纽约时报报道的结尾所说的一样,这是一种典型的预防诈骗的方式,阻止诈骗犯在盗取的手机上加载Uber软件、阻止诈骗犯绑定偷来的信用卡账户、阻止诈骗犯在进行高额打出业务之后不断重置手机继续诈骗。类似的技术也被应用来检测和屏蔽可疑账户的登陆,以此来保护用户的账户安全。”