Οι εφαρμογές iPhone συγκεντρώνουν κρυφά δεδομένα όταν σας στέλνουν ειδοποιήσεις, ανακαλύπτουν οι ερευνητές

Οι εφαρμογές iPhone, όπως το Facebook, το LinkedIn, το TikTok και το X/

Twitter

, παρακάμπτουν τους κανόνες απορρήτου της Apple για τη συλλογή δεδομένων χρηστών μέσω ειδοποιήσεων, σύμφωνα με δοκιμές από ερευνητές ασφαλείας στο


Mysk Inc.


, μια εταιρεία ανάπτυξης εφαρμογών. Οι χρήστες μερικές φορές κλείνουν εφαρμογές για να τους εμποδίσουν να συλλέγουν δεδομένα στο παρασκήνιο, αλλά αυτή η τεχνική ξεπερνά αυτή την προστασία. Τα δεδομένα δεν είναι απαραίτητα για την επεξεργασία ειδοποιήσεων, είπαν οι ερευνητές, και φαίνεται να σχετίζονται με τα αναλυ

τι

κά στοιχεία, τη διαφήμιση και την παρακολούθηση των χρηστών σε διαφορετικές εφαρμογές και συσκευές.

Είναι ισοδύναμο για το μάθημα ότι οι εφαρμογές θα έβρισκαν ευκαιρίες να κρυφτούν σε περισσότερη συλλογή δεδομένων, αλλά «με έκπληξη μάθαμε ότι αυτή η πρακτική χρησιμοποιείται ευρέως», δήλωσε ο Tommy Mysk, ο οποίος διεξήγαγε τις δοκιμές μαζί με τον Talal Haj Bakry. «Ποιος θα ήξερε ότι μια αβλαβής

ενέργεια

τόσο απλή όσο η απόρριψη μιας ειδοποίησης θα πυροδοτούσε την αποστολή πολλών μοναδικών πληροφοριών συσκευής σε απομακρυσμένους διακομιστές; Είναι ανησυχητικό όταν σκέφτεσαι το γεγονός ότι οι προγραμματιστές μπορούν να το κάνουν αυτό κατά παραγγελία».

Αυτές οι συγκεκριμένες εφαρμογές δεν είναι ασυνήθιστοι κακοί ηθοποιοί. Σύμφωνα με τους ερευνητές, είναι ένα ευρέως διαδεδομένο πρόβλημα που μαστίζει το οικοσύστημα του iPhone.

Δεν είναι η πρώτη φορά που οι δοκιμές της Mysk αποκαλύπτουν προβλήματα δεδομένων στην Apple, η οποία έχει ξοδέψει ανείπωτα εκατομμύρια για να πείσει τον κόσμο ότι «ό,τι συμβαίνει στο iPhone σας, παραμένει στο iPhone σας». Τον Οκτώβριο του 2023, η Mysk ανακάλυψε ότι μια αξιέπαινη λειτουργία iPhone προστατεύει τις λεπτομέρειες σχετικά με τη διεύθυνση WiFi σας


δεν είναι τόσο ιδιωτικό όσο υπόσχεται η εταιρεία


. Το 2022, η Apple χτυπήθηκε

πάνω από δώδεκα ομαδικές αγωγές

αφού το Gizmodo ανέφερε σχετικά με τη διαπίστωση του Mysk ότι η Apple συλλέγει δεδομένα για τους χρήστες της

ακόμα και αφού γυρίσουν το διακόπτη σε μια ρύθμιση απορρήτου iPhone

που υπόσχεται να «απενεργοποιήσει εντελώς την κοινή χρήση αναλυτικών στοιχείων συσκευών».

Τα δεδομένα μοιάζουν με πληροφορίες που χρησιμοποιούνται για «δακτυλικά αποτυπώματα», μια τεχνική που χρησιμοποιούν οι εταιρείες για να σας αναγνωρίσουν με βάση πολλές φαινομενικά αβλαβείς λεπτομέρειες σχετικά με τη συσκευή σας. Το δακτυλικό αποτύπωμα παρακάμπτει τις προστασίες απορρήτου για να παρακολουθεί άτομα και να τους στέλνει στοχευμένες διαφημίσεις — και η Apple απαγορεύει ρητά στις εταιρείες να το κάνουν. Τα iPhone και άλλα

προϊόντα

της Apple έχουν πολλές ρυθμίσεις και κανόνες που υποτίθεται ότι σας δίνουν τον έλεγχο του πότε οι εταιρείες μπορούν να σας αναγνωρίσουν και να συλλέξουν δεδομένα.

Για παράδειγμα, οι δοκιμές έδειξαν ότι όταν αλληλεπιδράτε με μια ειδοποίηση από το Facebook, η εφαρμογή συλλέγει διευθύνσεις IP, τον αριθμό των χιλιοστών του δευτερολέπτου από την επανεκκίνηση του τηλεφώνου σας, την ποσότητα ελεύθερης μνήμης στο τηλέφωνό σας και πολλές άλλες λεπτομέρειες. Ο συνδυασμός δεδομένων όπως αυτά είναι αρκετός για να προσδιορίσει ένα άτομο με υψηλό επίπεδο ακρίβειας. Οι άλλες εφαρμογές στη δοκιμή συνέλεξαν παρόμοιες πληροφορίες. Το LinkedIn, για παράδειγμα, χρησιμοποιεί ειδοποιήσεις για να συγκεντρώσει τη ζώνη ώρας στην οποία βρίσκεστε, τη φωτεινότητα της οθόνης σας και την εταιρεία κινητής τηλεφωνίας που χρησιμοποιείτε, καθώς και μια σειρά από άλλες πληροφορίες που φαίνεται να σχετίζονται ειδικά με διαφημιστικές καμπάνιες, είπε ο Mysk.

Ακριβώς επειδή μια εφαρμογή μπορεί να συλλέξει αυτές τις πληροφορίες, δεν σημαίνει ότι τις χρησιμοποιεί.

Η Meta, στην οποία ανήκει το Facebook, είπε ότι τα συμπεράσματα του Mysk είναι παρερμηνεία. «Τα ευρήματα δεν είναι ακριβή. Οι άνθρωποι συνδέονται στην εφαρμογή μας στη συσκευή τους και παρέχουν άδεια για να ενεργοποιήσουν τις ειδοποιήσεις», δήλωσε ο Emil Vazquez, εκπρόσωπος της Meta. «Μπορεί να χρησιμοποιούμε περιοδικά αυτές τις πληροφορίες, ακόμη και όταν η εφαρμογή δεν εκτελείται, για να μας βοηθήσουν να παρέχουμε έγκαιρες, αξιόπιστες ειδοποιήσεις, χρησιμοποιώντας τα API της Apple. Αυτό είναι συνεπές με τις πολιτικές μας».

Το LinkedIn μοιράστηκε μια παρόμοια δήλωση. «Δεν αξιοποιούμε τις ειδοποιήσεις ως τρόπο συλλογής δεδομένων μελών για διαφημίσεις ή σχετικά αναλυτικά στοιχεία, παρακολούθηση μεταξύ συσκευών ή μεταξύ εφαρμογών», δήλωσε εκπρόσωπος του LinkedIn. “Τυχόν δεδομένα που σχετίζονται με ειδοποιήσεις χρησιμοποιούνται μόνο για την επιβεβαίωση ότι μια ειδοποίηση στάλθηκε με επιτυχία και δεν κοινοποιούνται ποτέ εξωτερικά.” Οι Apple, TikTok και X/Twitter δεν απάντησαν αμέσως στις ερωτήσεις του Gizmodo για αυτό το άρθρο.

Αυτές οι λεπτομέρειες δεν είναι ιδιαίτερα ευαίσθητες σε σύγκριση με πράγματα όπως τα δεδομένα τοποθεσίας, αλλά είναι πολύτιμες για διαφημιστικούς και άλλους σκοπούς. Αυτό που πολλοί άνθρωποι δεν συνειδητοποιούν είναι ότι η στοχευμένη διαφήμιση και άλλες παραβιάσεις του ψηφιακού απορρήτου έχουν να κάνουν με τον εντοπισμό της ταυτότητάς σας. Οι εταιρείες ξέρουν τι κάνετε στις εφαρμογές τους—αλλά δεν ξέρουν πάντα ποιος είστε και τα δεδομένα είναι πολύ λιγότερο χρήσιμα αν δεν ξέρετε ποιανού είναι. Εάν οι εταιρείες δεν μπορούν να σας αναγνωρίσουν, δεν μπορούν να σας στοχεύσουν με διαφημίσεις.

Η Apple παρέχει έναν ειδικό αριθμό αναγνωριστικού διαφήμισης που έχει σχεδιαστεί ειδικά για να διευκολύνει τη συλλογή δεδομένων και τις στοχευμένες διαφημίσεις, αλλά ρυθμίσεις όπως το iPhone “

Ζητήστε από την εφαρμογή να μην παρακολουθείται

” έλεγχος μπλοκ αυτού του αναγνωριστικού διαφήμισης. Θεωρητικά, αυτό υποτίθεται ότι εμποδίζει τις εταιρείες να συνδέουν πληροφορίες για εσάς και τη συμπεριφορά σας από διαφορετικές εφαρμογές και άλλα μέρη του Διαδικτύου. Αλλά το δακτυλικό αποτύπωμα είναι ένας ύπουλος τρόπος για να συνεχίσετε να το κάνετε ούτως ή άλλως.

Οι εφαρμογές μπορούν να συλλέγουν αυτού του είδους τα δεδομένα για εσάς όταν είναι ανοιχτές, αλλά το να κλείσετε μια εφαρμογή υποτίθεται ότι διακόπτει τη ροή των δεδομένων και εμποδίζει την εκτέλεση μιας εφαρμογής. Ωστόσο, φαίνεται ότι οι ειδοποιήσεις παρέχουν μια κερκόπορτα.

Η Apple παρέχει ειδικό λογισμικό


για να βοηθήσετε τις εφαρμογές σας να στέλνουν ειδοποιήσεις. Για ορισμένες ειδοποιήσεις, η εφαρμογή μπορεί να χρειαστεί να αναπαράγει έναν ήχο ή να κατεβάσει κείμενο, εικόνες ή άλλες πληροφορίες. Εάν η εφαρμογή είναι κλειστή, το λειτουργικό σύστημα iPhone επιτρέπει στην εφαρμογή να ξυπνήσει προσωρινά για να επικοινωνήσει με τους διακομιστές της εταιρείας, να σας στείλει την ειδοποίηση και να εκτελέσει οποιαδήποτε άλλη απαραίτητη εργασία. Η συλλογή δεδομένων που εντόπισε ο Mysk συνέβη κατά τη διάρκεια αυτού του σύντομου παραθύρου.

«Μπορούν να στείλουν σκόπιμα μια ειδοποίηση σε μια στοχευμένη συσκευή μόνο και μόνο για να ξεκινήσει η εφαρμογή στο παρασκήνιο και να στείλει πίσω λεπτομέρειες», είπε ο Mysk. Ή αν μια εταιρεία όπως η TikTok ή η X/Twitter ήθελε μια γρήγορη ενημέρωση για τις διευθύνσεις IP 100.000 ατόμων που έχουν κλείσει τις εφαρμογές τους, θα χρειαζόταν μια γρήγορη ειδοποίηση. «Είναι συγκλονιστικό», είπε.

Είναι απολύτως λογικό μια εφαρμογή να θέλει να αναλύσει τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν με τις ειδοποιήσεις προκειμένου να βελτιστοποιήσουν τις υπηρεσίες της. Ωστόσο, ο Mysk είπε ότι υπάρχουν μερικοί λόγοι να πιστεύουμε ότι δεν είναι ο λόγος που οι εφαρμογές συλλέγουν αυτά τα δεδομένα.

Για ένα, η Apple


δίνει λεπτομέρειες στους προγραμματιστές εφαρμογών


σχετικά με το τι συμβαίνει απευθείας με τις ειδοποιήσεις, επομένως δεν χρειάζεται να συλλέγετε πρόσθετες πληροφορίες εάν γνωρίζετε τι συνέβη αφού κάνατε ping στους χρήστες σας. Επιπλέον, πολλά από τα δεδομένα που συλλέγουν οι εφαρμογές φαίνονται άσχετα με την ανάλυση του πόσο καλά λειτουργούν οι ειδοποιήσεις, όπως ο διαθέσιμος χώρος στο δίσκο του τηλεφώνου σας ή ο χρόνος από την τελευταία επανεκκίνηση, είπε ο Mysk.

Από κει και πέρα, άλλες εταιρείες που διψούν για δεδομένα στέλνουν ειδοποιήσεις χωρίς να διασκεδάζουν με όλες αυτές τις άλλες πληροφορίες. Όταν το Mysk δοκίμασε το

Gmail

και το YouTube, για παράδειγμα, οι εφαρμογές συνέλεγαν μόνο δεδομένα που προφανώς σχετίζονται με την επεξεργασία ειδοποιήσεων. Ο Mysk είπε ότι εάν μια εταιρεία όπως η Google μπορεί να σας στείλει μια ειδοποίηση χωρίς να παρακολουθεί άλλες λεπτομέρειες, αυτό υποδηλώνει ότι υπάρχουν απώτερα κίνητρα για τη συλλογή δεδομένων που εντόπισε.

Υπάρχουν μερικές δυνητικά αθώες εξηγήσεις για το πρόβλημα των δεδομένων ειδοποιήσεων. Για παράδειγμα, οι προγραμματιστές μερικές φορές αφήνουν παλιό κώδικα στις εφαρμογές τους που εκτελεί λειτουργίες που οι εταιρείες δεν χρειάζονται πλέον. Είναι θεωρητικά πιθανό μια εφαρμογή όπως το LinkedIn να έχει ρυθμιστεί για τη συλλογή δεδομένων που δεν χρησιμοποιούνται για κανέναν σκοπό. Οι ερευνητές, ωστόσο, είπαν ότι είναι δύσκολο να το πιστέψουμε.

«Είναι ακριβώς σαν να μαζεύεις μια στοίβα μαχαίρια», είπε ο Mysk. «Δεν σημαίνει απαραίτητα ότι σκοτώνεις ανθρώπους. Ίσως απλώς σερβίρετε το δείπνο.»

Υπάρχει μια επερχόμενη αλλαγή στους κανόνες του λειτουργικού συστήματος iPhone που θα μπορούσε να βελτιώσει την κατάσταση, αλλά δεν είναι σαφές εάν θα λύσει το πρόβλημα. Από την άνοιξη του 2024, οι προγραμματιστές εφαρμογών θα είναι


απαιτείται να εξηγήσει


γιατί και πώς χρησιμοποιούν ορισμένα «API», τα οποία, σε αυτό το πλαίσιο, είναι ουσιαστικά κομμάτια λογισμικού που χρησιμοποιούν οι εφαρμογές για να επικοινωνούν μεταξύ τους και με το λειτουργικό σύστημα iPhone.

Θεωρητικά, αυτό μπορεί να αναγκάσει τις εταιρείες να αποκαλύψουν γιατί σας παρακολουθούν—και εάν συλλέγουν δεδομένα για παράνομους σκοπούς, ίσως πρέπει να σταματήσουν. «Τα κακά νέα είναι ότι δεν είναι σαφές πώς θα το επιβάλει η Apple», είπε ο Mysk.

Δυστυχώς, μπορεί να έχετε ακούσει ότι οι μεγάλες εταιρείες λένε μερικές φορές ψέματα, τα οποία θα εμπόδιζαν τη λύση αυτή, και η Apple


δεν έχει σπουδαίο ιστορικό


για την επιβολή παρόμοιων κανόνων.