Как через Push-уведомления на iPhone утекают данные пользователей

Исследователь безопасности Томми Мыск (Tommy Mysk) продемонстрировал, как push-уведомления на iPhone могут использоваться популярными приложениями для скрытой отправки данных о пользователе.

В новом ролике, рассказывающем об этой практике, Мыск рассказал о том, как некоторые приложения для iOS используют функцию, представленную в iOS 10, которая позволяет приложениям настраивать push-уведомления. Эта функция, изначально предназначенная для того, чтобы приложения могли обогащать уведомления дополнительным контентом или расшифровывать зашифрованные сообщения, похоже, была использована некоторыми разработчиками для других действий. Согласно выводам Мыска, различные популярные приложения, включая TikTok, Facebook, Twitter, LinkedIn и Bing, используют короткое время фонового исполнения, предоставленное для такой настройки уведомлений, для отправки аналитической информации.

Такая практика вызывает особую тревогу, поскольку позволяет обойти типичные ограничения, накладываемые iOS на фоновую работу приложений. Apple всегда строго контролировала приложения, работающие в фоновом режиме, чтобы защитить конфиденциальность пользователей и обеспечить оптимальную производительность устройства. Однако функция push-уведомлений, похоже, непреднамеренно предоставила приложениям «черный ход» для фоновой передачи данных.

Тип передаваемых данных включает в себя уникальные данные об устройстве, которые могут быть использованы для фингерпринтинга и отслеживания пользователей в различных приложениях. Фингерпринтинг — это метод сбора конкретной информации об устройстве, такой, например,  как его аппаратная и программная конфигурация, для создания уникального идентификатора пользователя. Этот идентификатор может быть использован для отслеживания действий пользователя, что впоследствии может быть использовано для различных целей, например, для целевой рекламы.

Apple не разрешает такой сбор данных и вскоре потребует от разработчиков четко указывать, зачем их приложениям нужен доступ к API, которые часто используются для фингерпринтинга. Этот шаг делается в рамках усилий Apple по укреплению конфиденциальности пользователей, таким как введение прозрачности отслеживания в приложениях в iOS 14.5, которая требует, чтобы приложения получали разрешение пользователя, прежде чем отслеживать его действия в приложениях и на сайтах.