Istraživanje otkriva kako iPhone Push obavijesti cure korisničke podatke

Istraživač sigurnosti Tommy Mysk je to pokazao iPhone popularne aplikacije koriste push obavijesti za tajno slanje podataka o korisniku.

U novom videu koji opisuje tu praksu, Mysk je istaknuo kako određene iOS aplikacije iskorištavaju značajku predstavljenu u iOS-u 10 koja je dizajnirana da omogući aplikacijama prilagodbu push obavijesti. Ovu značajku, koja je prvobitno bila namijenjena da omogući aplikacijama da obogate obavijesti dodatnim sadržajem ili dešifriraju šifrirane poruke, čini se da su neki programeri prenamijenili za tajnovitije aktivnosti. Prema nalazima Myska, razne popularne aplikacije, uključujući TikTok, Facebook, Twitter, LinkedIn i Bing, koriste kratko vrijeme izvršavanja u pozadini dodijeljeno za prilagodbu obavijesti za slanje analitičkih informacija.

Ova praksa posebno je zabrinjavajuća jer zaobilazi tipična ograničenja koja nameće iOS na pozadinske aktivnosti aplikacija. Apple je uvijek držao strogu kontrolu nad aplikacijama koje rade u pozadini kako bi zaštitio privatnost korisnika i osigurao optimalnu izvedbu uređaja. Međutim, čini se da je značajka push obavijesti nenamjerno pružila stražnja vrata aplikacijama za prijenos pozadinskih podataka.

Vrsta podataka koji se šalju uključuje jedinstvene signale uređaja koji se mogu koristiti za uzimanje otisaka prstiju i praćenje korisnika u različitim aplikacijama. Otisak prsta je metoda prikupljanja specifičnih informacija o uređaju, kao što su njegove hardverske i softverske konfiguracije, kako bi se stvorio jedinstveni identifikator za korisnika. Taj se identifikator zatim može koristiti za praćenje aktivnosti korisnika u različitim aplikacijama, koje se zatim mogu koristiti za razne aktivnosti kao što je ciljano oglašavanje.

Apple ne dopušta uzimanje otisaka prstiju i uskoro će zahtijevati od programera da izričito navedu zašto njihove aplikacije trebaju pristup API-jima koji se često koriste za uzimanje otisaka prstiju. Ovaj je potez u skladu s nastojanjima Applea da ojača privatnost korisnika, kao što je uvođenje Transparency App Tracking Transparency u iOS 14.5, koji zahtijeva od aplikacija da dobiju dopuštenje korisnika prije praćenja njihove aktivnosti u aplikacijama i na web stranicama drugih tvrtki.