Исследователь безопасности Томми Мыск (Tommy Mysk) продемонстрировал, что push-уведомления на iPhone используются популярными приложениями для скрытой отправки данных о пользователе. Это уже не первый раз когда на повестке дня встаёт данный вопрос конфиденциальности.

В новом видеоролике, рассказывающем об этой практике, Мыск рассказал о том, как некоторые приложения для iOS используют функцию, представленную в iOS 10, которая позволяет приложениям настраивать push-уведомления. Эта функция, изначально предназначенная для того, чтобы приложения могли обогащать уведомления дополнительным контентом или расшифровывать зашифрованные сообщения, похоже, была использована некоторыми разработчиками для более скрытной деятельности.

Согласно выводам исследователя, различные популярные приложения, включая TikTok, Facebook*, Twitter, LinkedIn и Bing, используют короткое время фонового состояния, предоставленное для настройки уведомлений, для отправки аналитической информации.

Такая практика вызывает особое беспокойство, поскольку позволяет обойти типичные ограничения, накладываемые iOS на работу приложений в фоновом режиме. Apple всегда строго контролировала приложения, работающие в фоне, чтобы обеспечить конфиденциальность пользователей и оптимальную производительность устройства. Однако функция push-уведомлений, похоже, непреднамеренно предоставила приложениям «чёрный ход» для фоновой передачи данных.

Тип отправляемых данных включает уникальные показатели устройства, которые могут быть использованы для снятия «отпечатков пальцев» и отслеживания пользователей в различных приложениях. Отпечатки пальцев – это метод сбора конкретной информации об устройстве, такой как его аппаратная и программная конфигурация, для создания уникального идентификатора владельца. Такой идентификатор может быть использован для отслеживания действий пользователя в различных приложениях, что впоследствии может быть использовано для различных видов деятельности, например для таргетированной рекламы.

Apple не разрешает снимать отпечатки пальцев и вскоре потребует от разработчиков чётко указывать, зачем их приложениям нужен доступ к API. Этот шаг соответствует стремлению Apple усилить конфиденциальность пользователей, например, ввести прозрачность отслеживания в приложениях в iOS 14.5, которая требует, чтобы разработчики получали разрешение пользователя, прежде чем отслеживать его действия в приложениях и на веб-сайтах других компаний.

🛑
*Компания Meta, а также принадлежащие ей соцсети Facebook и Instagram, признаны экстремистскими и запрещены на территории РФ.

Ещё по теме: