Многие приложения для iOS используют фоновые процессы, запускаемые push-уведомлениями, для сбора пользовательских данных, предупреждают ИБ-исследователи. Потенциально это позволяет создавать профили людей и использовать их для слежки.

По словам мобильного разработчика Mysk, обнаружившего эту практику, многие приложения обходят ограничения Apple на фоновую активность и представляют риск для конфиденциальности пользователей. Исследователь пришел к выводу, что эта практика распространена гораздо шире, чем считалось ранее, и охватывает многие крупные приложения.

Apple разработала iOS таким образом, чтобы приложения не работали в фоновом режиме, и это помогает как предотвратить потребление ресурсов, так и повысить безопасность. Когда приложение не используется, его работа приостанавливается и в конечном итоге завершается, поэтому оно не может отслеживать или вмешиваться в активность пользователя.

Однако в iOS 10 Apple представила новую систему, которая позволяет приложениям запускаться в фоновом режиме, чтобы обрабатывать push-уведомления до того, как устройство их отобразит. Это позволяет приложениям, получающим push-уведомления, расшифровывать входящую полезную нагрузку и загружать дополнительный контент со своих серверов перед отправкой пользователю. После этого приложение снова прекращает работу.

Mysk обнаружил, что многие приложения злоупотребляют этой функцией, рассматривая ее как возможность передать данные об устройстве на свои серверы. В зависимости от приложения, информация может включать время работы системы, locale, язык клавиатуры, данные о доступной памяти, состоянии аккумулятора, использовании памяти, модели устройства и яркости дисплея.

Поведение LinkedIn после получения push-уведомления

«Тесты показали, что такая практика встречается гораздо чаще, чем мы ожидали. Частота, с которой многие приложения передают информацию об устройствах после срабатывания push-уведомлений, просто поражает воображение», — пишет исследователь.

Для демонстрации происходящего Mysk создал видео, показывающее обмен трафиком во время получения push-уведомлений для TikTok, Facebook*, X (бывший Twitter), LinkedIn и Bing. Оказалось, что приложения отправляют на свои серверы широкий спектр данных об устройствах, используя такие сервисы, как Google Analytics, Firebase или собственные системы.

Apple намерена устранить эту проблему и предотвратить дальнейшее злоупотребление push-уведомлениями, ужесточив ограничения на использование API. Так, начиная с весны 2024 года, приложения должны будут указывать точную причину, по которой им необходимо использовать API, которыми можно злоупотреблять для фингерпринтинга. В противном случае эти приложения не будут допущены в  App Store.

А пока, в качестве временной меры защиты от такой слежки, пользователям рекомендуется полностью отключить push-уведомления в настройках.

* Запрещена в РФ. Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии