Специалист по безопасности Томми Мыск продемонстрировал, что push-уведомления iPhone используются популярными приложениями для скрытой передачи данных о пользователе.
В новом видео, описывающем эту практику, Мыск показал, как некоторые приложения для iOS используют функцию, представленную в iOS 10, которая позволяет приложениям настраивать push-уведомления. Эта функция, изначально предназначенная для того, чтобы приложения могли обогащать уведомления дополнительным контентом или расшифровывать зашифрованные сообщения, по-видимому, была перепрофилирована некоторыми разработчиками для более скрытой деятельности. Согласно выводам Мыска, различные популярные приложения, включая TikTok, Facebook, Twitter, LinkedIn и Bing, используют короткое время выполнения в фоновом режиме, предоставляемое для настройки уведомлений, для отправки аналитической информации.
Эта практика вызывает особое беспокойство, поскольку она обходит типичные ограничения, налагаемые iOS на фоновую деятельность приложений. Apple всегда строго контролировала приложения, работающие в фоновом режиме, чтобы защитить конфиденциальность пользователей и обеспечить оптимальную производительность устройства. Однако функция push-уведомлений, похоже, непреднамеренно предоставила приложениям лазейку для передачи данных в фоновом режиме.
К передаваемым данным относятся уникальные сигналы устройства, которые могут использоваться для создания цифрового отпечатка и отслеживания пользователей в различных приложениях. Создание цифрового отпечатка — это метод сбора конкретной информации об устройстве, такой как его аппаратные и программные конфигурации, для создания уникального идентификатора пользователя. Затем этот идентификатор может использоваться для отслеживания действий пользователя в различных приложениях, что, в свою очередь, может применяться для различных целей, таких как таргетированная реклама.
Apple не разрешает создание цифровых отпечатков и вскоре потребует от разработчиков явно указывать, почему их приложения нуждаются в доступе к API, которые часто используются для создания цифровых отпечатков. Этот шаг соответствует усилиям Apple по усилению конфиденциальности пользователей, таким как внедрение App Tracking Transparency в iOS 14.5, которая требует от приложений получать разрешение пользователя перед отслеживанием их активности в приложениях и на веб-сайтах других компаний.
