Uber 最近的负面新闻不少,如今又遭到资安公司抨击,指出其 Android 版 App 要相当多的权限,令人怀疑是否无时无刻回传资料回来。
Joe’s Security 部落格文章,仔细检视 Uber App 的程式码,发现这款 App 要相当多的权限。
Uber 在官网已经澄清,指出 App 要的权限是什么用途。像是照相机是用来照信用卡,辨识卡号付款。需要联络人资讯是用在让朋友知道你在那里,或者发送 Uber 促销 code。
目前 Uber Android App 需要的权限如下:
- 账号记录 (email)
- App 活动 (名称,模组名称等)
- App 资料用量
- App 安装状况
- 电池状态
- 手机资讯
- 网络资料
- 通话记录
- 电信商资讯
- Wifi 状态
- Root 检查
- 恶意程式讯息
有些我们想不出是做什么的权限,很可能是一次性的,像是第一次使用 Uber 需要信用卡号,可以选择用拍照方式让系统辨识出来。
目前还没证据显示 Uber 的 App 是否有用到这些功能。对开发者来说能有越多的权限对他们来说越方便。比较好的作法是当你需要时才授权,这点 iOS 装置就做得比较好。由于 Uber 运作牵涉到信用卡金流,也许部分权限是用在诈骗侦测上。其他功能是为了让使用者完整体验 Uber 功能,而其他程式也会要不少权限。
Uber 的对手 Lyft 因对手负面新闻,使用率大增。不过 Lyft 不愿对外讲详细数字,我们可以看之后双方的势力消长表现。
