Det har säkerhetsforskaren Tommy Mysk visat iPhone push-meddelanden används av populära appar för att i hemlighet skicka data om användaren.
I en ny video som beskriver övningen lyfte Mysk fram hur vissa iOS-appar utnyttjar en funktion som introduceras i iOS 10 som är utformad för att tillåta appar att anpassa push-meddelanden. Den här funktionen, från början avsedd att göra det möjligt för appar att berika meddelanden med ytterligare innehåll eller dekryptera krypterade meddelanden, har till synes återanvänts av vissa utvecklare för mer hemliga aktiviteter. Enligt Mysks upptäckter använder olika populära applikationer, inklusive TikTok, Facebook, Twitter, LinkedIn och Bing, den korta bakgrundsexekveringstiden som beviljats för meddelandeanpassning för att skicka analytisk information.
Denna praxis är särskilt oroande eftersom den kringgår de typiska begränsningarna som iOS inför på bakgrundsappaktiviteter. Apple har alltid haft strikt kontroll över applikationer som körs i bakgrunden för att skydda användarnas integritet och säkerställa optimal enhetsprestanda. Emellertid verkar push-aviseringsfunktionen oavsiktligt ha tillhandahållit en bakdörr för appar att utföra bakgrundsdataöverföring.
Den typ av data som skickas inkluderar unika enhetssignaler som kan användas för att ta fingeravtryck och spåra användare över olika appar. Fingeravtryck är en metod för att samla in specifik information om en enhet, såsom dess hårdvaru- och mjukvarukonfigurationer, för att skapa en unik identifierare för användaren. Denna identifierare kan sedan användas för att spåra användarens aktiviteter över olika applikationer, som sedan kan användas för olika aktiviteter såsom riktad reklam.
Apple tillåter inte fingeravtryck och kommer snart att kräva att utvecklare uttryckligen anger varför deras appar behöver tillgång till API:er som ofta används för fingeravtryck. Detta drag är i linje med Apples ansträngningar att stärka användarnas integritet, såsom introduktionen av App Tracking Transparency i iOS 14.5, som kräver att appar skaffar användartillstånd innan de spårar deras aktivitet över andra företags appar och webbplatser.
Populära Inlägg