Uber 是恶意软件？Android 版 App 要太多权限了

Uber 最近的负面新闻不少，如今又遭到资安公司抨击，指出其 Android  版 App 要相当多的权限，令人怀疑是否无时无刻回传资料回来。

Joe’s Security 部落格文章，仔细检视 Uber App 的程式码，发现这款 App 要相当多的权限。

Uber 在官网已经澄清，指出 App 要的权限是什么用途。像是照相机是用来照信用卡，辨识卡号付款。需要联络人资讯是用在让朋友知道你在那里，或者发送 Uber 促销 code。

目前 Uber Android App 需要的权限如下：

• 账号记录 (email)
• App 活动 (名称，模组名称等)
• App 资料用量
• App 安装状况
• 电池状态
• 手机资讯
• GPS
• MMS
• 网络资料
• 通话记录
• SMS
• 电信商资讯
• Wifi 状态
• Root 检查
• 恶意程式讯息

有些我们想不出是做什么的权限，很可能是一次性的，像是第一次使用 Uber 需要信用卡号，可以选择用拍照方式让系统辨识出来。

目前还没证据显示 Uber 的 App 是否有用到这些功能。对开发者来说能有越多的权限对他们来说越方便。比较好的作法是当你需要时才授权，这点 iOS 装置就做得比较好。由于 Uber 运作牵涉到信用卡金流，也许部分权限是用在诈骗侦测上。其他功能是为了让使用者完整体验 Uber 功能，而其他程式也会要不少权限。

Uber 的对手 Lyft 因对手负面新闻，使用率大增。不过 Lyft 不愿对外讲详细数字，我们可以看之后双方的势力消长表现。