iPhone


gnews




Security


Οι εφαρμογές iPhone κάνουν κατάχρηση των ειδοποιήσεων push iOS για τη συλλογή δεδομένων χρήστη



By

Marizas Dimitris



Πολλές εφαρμογές iOS χρησιμοποιούν διαδικασίες παρασκηνίου που ενεργοποιούνται από ειδοποιήσεις push για τη συλλογή δεδομένων χρηστών σχετικά με

, επιτρέποντας ενδεχομένως τη δημιουργία προφίλ δακτυλικών αποτυπωμάτων που χρησιμοποιούνται για παρακολούθηση.

Σύμφωνα με τον ερευνητή για κινητές συσκευές Mysk, ο οποίος ανακάλυψε αυτή την πρακτική, αυτές οι εφαρμογές παρακάμπτουν τους περιορισμούς δραστηριότητας εφαρμογών στο παρασκήνιο της Apple και συνιστούν κίνδυνο απορρήτου για τους χρήστες iPhone.

“Οι εφαρμογές δεν θα πρέπει να επιχειρούν να δημιουργήσουν κρυφά ένα προφίλ χρήστη με βάση τα δεδομένα που συλλέγονται και δεν επιτρέπεται να επιχειρούν, να διευκολύνουν ή να ενθαρρύνουν άλλους να αναγνωρίσουν ανώνυμους χρήστες ή να ανακατασκευάσουν προφίλ χρηστών με βάση δεδομένα που συλλέγονται από API που παρέχονται από την Apple ή οποιαδήποτε δεδομένα λέτε ότι έχουν συλλέγονται με «ανωνυμοποιημένο», «συγκεντρωτικό» ή με άλλο τρόπο μη αναγνωρίσιμο τρόπο», αναφέρεται σε ένα τμήμα του

Οδηγίες αναθεώρησης του Apple App Store

.

Αφού ανέλυσε ποια δεδομένα αποστέλλονται από τις διεργασίες παρασκηνίου του iOS κατά τη λήψη ή την εκκαθάριση ειδοποιήσεων, ο Mysk διαπίστωσε ότι η πρακτική ήταν πολύ πιο διαδεδομένη από ό,τι πιστευόταν προηγουμένως, περιλαμβάνοντας πολλές εφαρμογές με σημαντική βάση χρηστών.

Ξυπνήστε και συλλέξτε δεδομένα

Η Apple σχεδίασε το iOS ώστε να μην επιτρέπει στις εφαρμογές να εκτελούνται στο παρασκήνιο για να αποτρέψει την κατανάλωση πόρων και για καλύτερη ασφάλεια. Όταν δεν χρησιμοποιείτε μια εφαρμογή, αναστέλλονται και τελικά τερματίζονται, επομένως δεν μπορούν να παρακολουθούν ή να παρεμβαίνουν σε δραστηριότητες στο προσκήνιο.

Στο iOS 10, ωστόσο, η Apple παρουσίασε ένα νέο σύστημα που επιτρέπει στις εφαρμογές να εκκινούν αθόρυβα στο παρασκήνιο για να επεξεργάζονται νέες ειδοποιήσεις push πριν τις εμφανίσει η συσκευή.

Το σύστημα επιτρέπει στις εφαρμογές που λαμβάνουν ειδοποιήσεις push να αποκρυπτογραφήσουν το εισερχόμενο ωφέλιμο φορτίο και να κατεβάσουν πρόσθετο περιεχόμενο από τους διακομιστές τους για να το εμπλουτίσουν πριν από την προβολή του στον χρήστη. Μόλις ολοκληρωθεί αυτή η διαδικασία, η εφαρμογή τερματίζεται ξανά.

Μέσω δοκιμών,

Ο Mysk βρέθηκε

ότι πολλές εφαρμογές κάνουν κατάχρηση αυτής της δυνατότητας, θεωρώντας το ως ένα παράθυρο ευκαιρίας για τη μετάδοση δεδομένων σχετικά με μια συσκευή πίσω στους διακομιστές τους. Ανάλογα με την εφαρμογή, αυτό περιλαμβάνει χρόνο λειτουργίας συστήματος, τοπικές ρυθμίσεις, γλώσσα πληκτρολογίου, διαθέσιμη μνήμη, κατάσταση

ς, χρήση αποθήκευσης, μοντέλο συσκευής και φωτεινότητα οθόνης.

Η ανταλλαγή δεδομένων δικτύου του LinkedIn κατά την άφιξη μιας ειδοποίησης Push

Η ανταλλαγή δεδομένων δικτύου του LinkedIn κατά την άφιξη μιας ειδοποίησης Push



Πηγή: Mysk

Ο ερευνητής πιστεύει ότι αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν για δακτυλικά αποτυπώματα/δημιουργία προφίλ χρήστη, επιτρέποντας την επίμονη παρακολούθηση, κάτι που απαγορεύεται αυστηρά στο iOS.

“Οι δοκιμές μας δείχνουν ότι αυτή η πρακτική είναι πιο συνηθισμένη από ό,τι περιμέναμε. Η συχνότητα με την οποία πολλές εφαρμογές στέλνουν πληροφορίες συσκευής αφού ενεργοποιηθούν από μια ειδοποίηση είναι συγκλονιστική”, εξηγεί ο Mysk σε μια ανάρτηση στο Twitter.

Ο Mysk δημιούργησε το ακόλουθο βίντεο που εμφανίζει την ανταλλαγή κίνησης δικτύου κατά τη λήψη ειδοποιήσεων push από το TikTok, το Facebook, το X (Twitter), το LinkedIn και το

.

Διαπιστώθηκε ότι οι εφαρμογές στέλνουν ένα ευρύ φάσμα δεδομένων συσκευών στους διακομιστές τους χρησιμοποιώντας υπηρεσίες όπως το Google Analytics, το Firebase ή τα δικά τους ιδιόκτητα συστήματα.

Μετριασμός του ζητήματος

Η Apple θα καλύψει το κενό και θα αποτρέψει περαιτέρω κατάχρηση των αφυπνίσεων ειδοποιήσεων push από

αυστηρότεροι περιορισμοί στη χρήση API

για σήματα συσκευής.

Ο Mysk είπε στο BleepingComputer ότι από την άνοιξη του 2024, οι εφαρμογές θα πρέπει να δηλώνουν ακριβώς γιατί πρέπει να χρησιμοποιούν API που μπορούν να χρησιμοποιηθούν για τη λήψη δακτυλικών αποτυπωμάτων.

Αυτά τα API χρησιμοποιούνται για την ανάκτηση πληροφοριών σχετικά με μια συσκευή, όπως ο χώρος στο δίσκο, ο χρόνος εκκίνησης του συστήματος, οι χρονικές σημάνσεις αρχείων, τα ενεργά πληκτ

και οι προεπιλογές χρήστη.

Εάν οι εφαρμογές δεν δηλώνουν σωστά τη χρήση αυτών των API και για ποιο σκοπό χρησιμοποιούνται, η Apple λέει ότι θα απορριφθούν από το

.

Μέχρι να συμβεί αυτό, οι χρήστες iPhone που θέλουν να αποφύγουν αυτό το δακτυλικό αποτύπωμα θα πρέπει να απενεργοποιήσουν εντελώς τις ειδοποιήσεις push. Δυστυχώς, η σιωπή των ειδοποιήσεων δεν θα αποτρέψει την κατάχρηση.

Για να απενεργοποιήσετε τις ειδοποιήσεις, ανοίξτε το ‘

Ρυθμίσεις

,’ κατευθύνομαι προς ‘

Ειδοποιήσεις

,’ επιλέξτε την εφαρμογή για την οποία θέλετε να διαχειριστείτε τις ειδοποιήσεις και πατήστε την εναλλαγή για απενεργοποίηση’

Να επιτρέπονται οι ειδοποιήσεις

.’

Τον Δεκέμβριο, αποκαλύφθηκε ότι οι κυβερνήσεις ζητούσαν αρχεία ειδοποιήσεων push που αποστέλλονταν μέσω των διακομιστών της Apple και της Google ως τρόπο κατασκοπείας χρηστών.

Η Apple είπε ότι η κυβέρνηση των ΗΠΑ τους απαγόρευσε να κοινοποιούν οποιαδήποτε πληροφορία σχετικά με αυτά τα αιτήματα και έκτοτε έχει ενημερώσει τις αναφορές διαφάνειας.


VIA:

bleepingcomputer.com


Follow TechWar.gr on Google News


















Marizas Dimitris



102459 posts


12 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.