Примерно неделю назад произошло обновление мобильного приложения Uber для Android до версии 3.98.2. Пользователи программы сразу обратили внимание, что после обновления Uber запрашивает доступ к истории посещённых страниц в браузере, закладкам и запущенным приложениям (см. скриншот).Такое любопытство Uber выглядит подозрительно, особенно с учётом недавней статистики, согласно которой компания предоставила властям и регуляторам США по их запросам информацию о 12 млн пассажиров и водителей такси Uber.
«Ума не приложу, какие могут быть рациональные причины, зачем приложению такси рыться в истории моего браузера, а тем более смотреть список приложений, которые я использую», — возмущается один из пользователей, который часто ездит на такси Uber.
На странице Android Permissions в списке запрашиваемых разрешений нет истории посещённых страниц браузера, закладок и запущенных приложений. Судя по всему, здесь указан список для последних версий Android (Lollipop и выше).
Текущая версия Uber для Android в каталоге Google Play датируется вчерашним днём (16 апреля 2016 г) и имеет тот же номер 3.98.2.
Нужно заметить, что хотя при установке апдейта и запрашиваются все указанные разрешения, в реальности текущая версия не имеет функциональности для доступа к конфиденциальной информации, только к списку запущенных приложений (GET_TASKS), так что волноваться нет особых причин. С другой стороны, однажды получив такие разрешения, в следующих версиях после автоматического обновления соответствующая функциональность, теоретически, может появиться.
Экран установки с запросом всех этих разрешений из группы Device & Apps действительно выглядит странно, но пока что опасаться нечего. Сложно представить, что у частной компании Uber есть хитрый план по сбору приватной информации о пользователях и продаже этой базы.
Комментарии (58)
m0xf
17.04.2016 12:28+3Все эти проблемы с разрешениями легко решить, достаточно добавить в android возможность отключать доступ к различным функциям. Убрал доступ к SMS — приложение получает пустой список сообщений.
goodbear
17.04.2016 12:32+1Вот только ни кто на это не пойдет (и уже много лет эта проблема игнорируется), потому что, несмотря на заплаченные за устройство денги, все пользователи являюься всего лишь ходячими кошельками. В магазине огромное количество приложений (в том числе и топовых) требуют разрешений, которые нужны только создателям этих приложений и большинству на это наплевать.
denis_g
17.04.2016 12:45+1А как в iOS дела обстоят? Расскажите, пожалуйста, т.к. никогда с этим дела не имел.
huhen
17.04.2016 13:25+2В iOS при первой попытке доступа например к фотографиям появляется запрос и запоминается, потом в настройках можно поменять свое решение. Есть правда ограничение по геолокации, если приложение хочет доступ к координатам всегда, а не только когда ты с ним работаешь, нет возможности разрешить доступ только на момент работы с приложением.
Goodkat
17.04.2016 13:35Несколько лучше, но не идеально: приложение запрашивает разрешения не при установке, а при первом обращении к ресурсам, и приложению можно отказать в доступе или отозвать позже разрешение в настройках.
Не идеально в том плане, что когда хочешь отправить фоточку в чатик, приходится давать чатику доступ ко всем фотографиям, без возможности выбрать лишь одну. А на следующий день этот чатик вдруг показывает вам коллаж из сделанных за неделю фотографий и предлагает из опубликовать.
boootloader
17.04.2016 17:21+1После однократного использования можно снова отключить доступ в системных настройках приватности. Не самый лучший вариант, но рабочий. Всё ж нечасто такие ситуации возникают.
Goodkat
17.04.2016 17:35+1Возникают постоянно: я бы хотел ограничить доступ к контактам приложению WhatsApp — мне не нужны там 200 человек, хватило бы и 10, которые мне иногда пишут, и я бы хотел добавлять их поштучно, а не давая приложению доступ ко всей адресной книге. Аналогично с ICQ — у них есть удобная фича инициации чата через SMS с человеком, у которого нет ICQ, но я не хочу, чтобы mail.ru знал список моих контактов, хватило уже, что его знает Facebook через WhatsApp.
Но проблема эта не ограничивается смартфонами, на ПК всё аналогично — вы даёте приложениям полный доступ ко всем своим данным в пользовательской папке, без возможности его ограничить. На смартфонах проблему проще решить, но Эпл не захочет этого делать, чтобы не усложнять интерфейс, а Гугл не захочет, потому что продажа пользовательских данных — его хлеб.
Shished
17.04.2016 12:45В андроид с версии 6.0 можно включать и выключать разрешения для каждого приложения. Для получения разрешения приложение должно получить подтверждение от пользователя.
Alex_ME
17.04.2016 12:43Разве это не добавили в 6.0?
LonFas
17.04.2016 13:04+1В MIUI это точно есть ещё с JellyBean'а, в 2013 году как раз купил свой первый телефон от Xiaomi. Сейчас там установлен Lolipop, управление разрешениями есть. К сожалению скриншот только ссылкой imgur.com/uKF7LOW
rPman
17.04.2016 12:50Сколько может стоить разработка такого функционала?
Я серьезно, если слишком дорого — краудсорсинг, если подъемно… я бы заплатил
p.s. жаль что без opensource ценность этого решения низкая, а значит на ее продаже даже отбить разработку будет сложно.
p.p.s. интересно lxc или аналоги для android реален? чтобы даже root приложения (типа google инфраструктуры) в песочницу посадить (я знаю что lxc не достаточно надежная)
spellman003
17.04.2016 13:04+4Такое возможно в CyanogenMod. Настройки -> Конфиденциальность -> Защищенный режим
Nafania1
17.04.2016 13:25+1Для рутованных телефонов есть модуль к xposed, который называется xprivacy, именно этим и занимается.
MartinX
17.04.2016 14:34Есть только один минус: это все ставить хуки на Java вызовы, когда как некоторые приложения используют еще и нативные библиотеки. Тут Xprivacy может лишь запретить к ним доступ… Ну и требуется некоторое понимание что рубить, а что — нет.
Alexx31
17.04.2016 12:44+2Слуште, а нельзя ли организовать что-то типа виртуальной машины на своём гаджете и поднять там Убер. И пусть он в пределах этой машины получает себе доступ к чему угодно, жалко что ли?
lopatoid
17.04.2016 13:41+4В Android уже давно (вроде как с 4-го Андроида для планшетов, и с 5-го для телефонов) можно завести несколько пользователей. Профили пользователей полностью изолированы (свои приложения, свои данные и т.д.). Я очень удивлён, что на этом гиковском ресурсе об этом мало кто знает, и предлагает выше какие-то LXC, виртуальные машины и вообще жалуются на Андроид, хотя вроде нужные функции уже есть, и работают просто, стабильно, и быстро.
Начиная с Android 6 сделали полноценное управление разрешениями.Опять же удивлён, что комменты в стиле «Гугл никогда этого не сделает, так как Зло, Спецслужбы, Капитализм» набирают плюсики, так как управление разрешениями было анонсировано ещё год назад на Google I/O, и с тех пор уже многие девайсы её получили.
svosin
17.04.2016 15:31В большинстве телефонных прошивок для того, чтобы можно было управлять пользователями, нужен root. Из коробки такое только на планшетах.
lopatoid
17.04.2016 15:39Начиная с Андроид 5 и на телефонах, никакого рута не надо:
http://www.androidcentral.com/lollipop-brings-proper-multi-user-accounts-your-phone
А если производитель телефона убирает эту функцию из прошивки — ну, не надо покупать такие телефоны. Так как это плохой производитель, который убирает полезные функции, а добавляет в телефон кучу adware и spyware.
MiXei4
17.04.2016 21:48+4По вашей ссылке пишут следующее:
Uninstalling an app on one account uninstalls it on all accounts
Accepting new permissions for an app on one account accepts them across all accounts
Получается не такие уж и изолированные профили?
boootloader
17.04.2016 17:29+1Ну видимо потому, что в жуткой-мерзкой-закрытой iOS управление разрешениями тихо существует и прекрасно работает аж с 2012 года, а Гугль, похоже, просто сдался. На западных ресурсах одно время прямо наметился тренд — везде отсутствие штатной системы разрешений ставилось в упрек Android (в сравнении с iOS), припоминали «выпиливание» подобной функциональности из Android 4.4. Ну, впрочем, теперь можно преподносить это как великое благо и Добро от Корпорации Добра с большой буквы «дэ» — аж для 4.6% пользователей «зеленого робота», согласен.
yul
17.04.2016 18:14Думаю, они хотят знать, используются ли приложения или сайты конкурентов на устройстве. Вряд ли уж они так явно афишировали бы сотрудничество со спецслужбами. Да и список разрешений был бы еще поболее того, наверное.
dom1n1k
17.04.2016 20:34+2Лично мое знакомство с Убером закончилось на этапе регистрации, когда они потребовали данные кредитки даже раньше, чем показали мне интерфейс системы. Нажал крестик и забыл.
synka
18.04.2016 10:58-1Ты не из Ростова? Ник знакомый. Я на UBER перешел с Лидера. Очень нравится. Плачу на 20-50р больше. Но машины всегда хорошие. Не нужно связываться в наличкой.
xdsemx
17.04.2016 22:22Пользуюсь Uber через мобильную версию.
m.uber.com
Для этого нужно запросить доступ здесь:
help.uber.com/ru_RU/h/1ed2c9ac-daad-4413-91ee-09c8aefec8da
Pakos
18.04.2016 12:42+1Они запрашивают, чтобы if(tasks.find(x=>x.Name.Contains('gett','yandex.taxi')) price+=100500? (или минус или task_kill)
geher
> Сложно представить, что у частной компании Uber есть хитрый план по сбору приватной информации о пользователях и продаже этой базы.
Зато достаточно легко представить, что такой хитрый план есть у спецслужб, которые в обмен на эту информацию позволят компании нормально работать в соответствующей стране. Не секрет, что деятельность Uber во многих странах мягко говоря, не приветствуется.
Barafu
И то, что в андроиде пользователь не может выборочно выключать разрешения — тоже происки спецслужб?
У популярного в России магазина электронных сигарет есть приложение для заказов — так оно вообще все возможные разрешения требует. Вот сиди и думай — спецслужбы проискивают или просто идиот приложение писал.
Forthright
Может же. Правда только начиная с Marshmallow.
MartinX
Или root + Xposed + Xprivacy.
Forthright
Но всё же рутуют свои устройства далеко не все. Так что для обычного пользователя основной вариант — встроенные функции.
am_devcorp
Проблема в том, что некоторые приложения после того, как им откажут в предоставлении какого-либо разрешения обижаются и отказываются работать (Google Keep как пример)
dartraiden
Xprivacy, например, позволяет не отказывать, а просто подсовывает ложную информацию. Пустой список контактов, рандомное местоположение и т.д.
am_devcorp
Да, просто в описаном случае «родной» способ управления разрешениями по сути теряет смысл. Я знаю фишку xprivacy, сам ей пользуюсь, просто обидно как-то.
Saffron
Станет гугл портить себе монетизацию.
Saffron
Поэтому правильный подход — не только не давать доступ, но и подменять искомые данные болванкой.
Syrex
В таком случае приложение может сравнивать полученные данные с балванкой и также обижаться
NINeOneone
Можно болванку ему новую давать поиграться периодически, чтобы не обижалось.
svosin
Еще в каком-то из 4.4.X был App Ops, но его выпилили
St_androsik
Switch to iOS
AndreyDmitriev
Это всё понятно. Но, если честно, как же задолбали вот эти все спецслужбы, государства, террористы, права доступа и вся эта фигня. Это современный мир, с этим почти ничего не поделать. В моём идеальном мире будущего приложение Убер, или там Гугль, или что-то там ещё, снабжённое искусственным интеллектом, будет иметь доступ ко всей доступной информации, и соверешенно автоматически из анализа истории и местоположений выяснит, что я лечу домой из командировки, автоматически подгонит мне такси, попутно выяснит, что супруга с детишками гостят у бабушки, соответственно холодильник пуст и к приезду закажет любимую пиццу по-неаполитански с пивом, которое я обычно употребляю, и всё это вообще без всяхих телодвижений с моей стороны, без сбоев и побочных эффектов в виде использования данных обо мне не по прямому назначению. Жаль, не доживу.
pewpew
Однажды посещённая ссылка на смешную gif-ку про резиновые дилды может превратить вашу жизнь в кошмар просто потому, что умная система вдруг решит, что вы их ищите. А случайно щёлкнув по одному из баннеров про конный спорт вы вообще с удивлением обнаружите дома свёрток, подозрительно напоминающий конячую дилду, т.к. система на основе ваших предпочтений уже сгоняла курьера в ближайший секс-шоп и любезно приобрела конячью дилду. И тут заходят бабушка с детьми, в у вас в руках этот свёрток. Что-то пошло не так? Нет, просто вы слишком доверились системе.
AndreyDmitriev
Это всё относится к сбоям системы. Я это и сегодня наблюдаю — купил пылесос через интернет и мне ещё месяц втюхивают в рекламе пылесосы, вместо того, чтобы втюхивать фильтры именно к тому пылесосу, который я купил.
Вот сейчас «Интернет вещей» в тренде. Для меня «Интернет вещей» — это когда этот самый пылесос автоматом закажет сам себе расходники. Однако низкое доверие системе (когда система не вправе знать о покупках и адресе доставки) вкупе с невозможностью реализовать гибкую логику (ИИ пока не существует) пока что убивают всё это на корню, а в переходный период приведут к доставке конячьих дилд.
Я в общем-то не страдаю паранойей — как-то в отпуске для пробы разрешил передачу всего и вся, что было возможно, в надежде, что гугль, который «now» будет предлагать мне рестораны и развлечения в округе — фиг там, сервис тыкал пальцем в небо.
dom1n1k
Интернет вещей — это что-то типа рынка продуктов, где картошка и капуста сами торгуются и выбирают себе покупателя (но за его деньги). А когда ты приносишь их домой, они ещё и сообщают своим на рынок «пацаны, судя по обстановке, он зарабатывает не меньше 150к, обратите на него внимание». Короче, маркетинговый высер под прикрытием красивых лозунгов.
xxvy
Представил себе картинку — пылесос ездит за мной и канючит — «Ну Хозя-я-яин, ну открой интернета — фильтры заказать. Ну невозможно же, я весь чешуся..»
Malevolent
Это всё прекрасно ровно до того момента, как ваши взгляды на правильную жизнь не разойдутся с таковыми взглядами у государства.
mtivkov
Про спецслужбы 5 дней назад было:
Uber выдал властям США данные о 12 млн пользователей и опубликовал свидетельство канарейки
Похоже, что спецслужбы заказали новую функциональность для приложения Uber.