הודעות דחיפה מנוצלות לאיסוף פולשני של נתוני משתמשים שוב, על פי אדוח חדשעל ידי חוקרים עם מפתח האפליקציות Mysk.
אפליקציות לאייפון משתמשות בהודעות דחיפה כדי לשלוח מידע על המכשיר וניתוחים אחרים לשרתים מרוחקים, מצאו חוקרי Mysk. מפתחים יכולים לאסוף נתונים אלה גם אם האפליקציה לא פתוחה במכשיר.
מה קורה כאן?
אפל לא מאפשרת לאפליקציות iOS לפעול ברקע ומשהה יישומים לא פעילים עקב חששות פרטיות ובעיות ביצועים. עם זאת, כאשר משתמש מקבל הודעת דחיפה, iOS מפעילה את האפליקציה באופן זמני על מנת שהיא תתאים אישית את הודעת הדחיפה עבור המשתמש. בעוד ש-iOS שוב משעה את האפליקציה לאחר ביצוע פעולה זו, נתוני המכשיר של המשתמשים נאספים על ידי אפליקציות אלו ונשלחים לגורמים רלוונטיים במהלך מסגרת זמן זו.
מאסק העלה אסרטון ליוטיובשמראה אפליקציות שנבדקו שאוספות נתונים מהמכשיר באמצעות הודעות דחיפה.
האפליקציות שנמצאו אוספות נתונים כוללות כמה מפלטפורמות המדיה החברתיות הגדולות ביותר כמו פייסבוק, אינסטגרם, TikTok, LinkedIn וה-X של אילון מאסק.
מהירות אור ניתנת לריסוק
"היכולת לבצע משימות ברקע היא מכרה זהב עבור אפליקציות זוללות נתונים", אמר Mysk בהצהרה שמסרה ל-Mashable. "באופן לא מפתיע, אפליקציות חברתיות רבות הידועים לשמצה בשל שיטות איסוף הנתונים האגרסיביות שלהן מנצלות את זמן הביצוע ברקע המופעל על ידי הודעות דחיפה. למעשה, מפתחים יכולים לרתום את הדרך לעקיפת הבעיה כדי להפעיל קוד ברקע לפי דרישה. כל מה שהם צריכים לעשות זה לשלוח כתוצאה מכך, iOS יעיר את האפליקציה שלהם ברקע בכל מכשיר, ואז האפליקציה מריצה כל קוד שהמפתח מובנה באפליקציה."
ראה גם:
Mysk גילתה שרוב האפליקציות שעוסקות בתרגול זה אספו נתוני מכשיר כגון "זמן פעילות מערכת, מיקום, שפת מקלדת, זיכרון זמין, מצב סוללה, דגם מכשיר, בהירות תצוגה" ומידע קשור אחר. החוקרים אומרים כי כל הנתונים הללו רלוונטיים בעת בניית פרופילים ייחודיים על מנת לעקוב אחר משתמשים באינטרנט ולהגיש להם פרסומות רלוונטיות. נוהג זה, המכונה טביעת אצבע, אסור על פי מדיניות iOS של אפל.
האם אני יכול לעשות משהו?
חלק ממפתחי האפליקציות דוחים את הממצאים של Mysk, לפיגיזמודו.
לינקדאין ומטה הכחישו בפני Gizmodo כי נעשה שימוש לרעה בנתונים הללו. לינקדאין ציינה שהפעילות שנרשמה באמצעות הודעות דחיפה משמשת כדי לוודא שההתראות פועלות, ושזה עומד בהנחיות של אפל.
בסוף השנה שעברה הודעות דחיפה במכשירי iOS עלו לכותרות כאשר הסנאטור האמריקני רון ווידן קיבל טיפ שרשויות אכיפת החוק והממשלותיכלו לבקשנתונים רגישים ממכשירי המשתמשים באמצעות הודעות דחיפה. אחרי שהסיפור התפוצץ, אפלמחודשהמדיניות שלה לחייב צו חיפוש לפני שליחת נתונים של משתמשים.
עם זאת, אפל עשויה להקדים את עצמה במקרה זה. לדברי Mysk, אפל כבר מתכננת להתחיל לדרוש מהמפתחים להסביר מדוע אפליקציות "משתמשות בממשקי ה-API שמחזירים אותות ייחודיים למכשיר", הפעילות המשמשת בפרקטיקה של טביעת אצבע בהמשך השנה.
בינתיים, Mysk ממליצה למשתמשים שמודאגים מאיסוף נתונים זה לכבות הודעות דחיפה באייפון ובאייפד שלהם. חוקרים ציינו שמשתמשים חייבים לבחור באפשרות להשבית הודעות דחיפה עבור כל אפליקציה לחלוטין כדי להפסיק את איסוף הנתונים.
