Приложения для iOS шпионят за пользователями с помощью push-уведомлений

Было обнаружено, что некоторые из самых популярных приложений для iOS обходят условия обслуживания Apple и собирают конфиденциальную информацию об устройствах, на которых они установлены.

Приложения для iOS шпионят за пользователями с помощью push-уведомлений. Фото: СС0

По словам исследователя, открывшего эту практику, это очень опасно, поскольку поставщики приложений могут использовать данные для профилирования и последующего отслеживания своих пользователей.

Как пояснил Mysk on X, в iOS 10 команда Apple разрешила мобильным приложениям работать в фоновом режиме, чтобы обрабатывать, а затем обслуживать push-уведомления. Как только процесс завершится, приложения снова приостанавливаются, а затем закрываются для повышения производительности и безопасности. Но в течение этого небольшого периода некоторые приложения собирали конфиденциальные данные устройства. Сюда входят время безотказной работы системы, локация, язык клавиатуры, доступная память, состояние батареи, использование памяти, модель устройства и яркость дисплея.

Все это, утверждает исследователь, можно использовать для снятия отпечатков пальцев (профилирования) пользователей, а затем отслеживать их.

Из сообщения исследователей безопасности:

«Наши тесты показывают, что эта практика встречается чаще, чем мы ожидали. Частота, с которой многие приложения отправляют информацию об устройстве после запуска уведомления, просто ошеломляет.»

По-видимому, существует множество приложений, которые злоупотребляют привилегией отправлять push-уведомления мобильным пользователям, в том числе такие, как TikTok, Twitter, LinkedIn и Bing, сообщил исследователь в демонстрационном видео, опубликованном на YouTube.

Судя по всему, в ближайшем будущем Apple ужесточит ограничения на использование API для сигналов устройств и потребует от разработчиков приложений точно указывать, почему им необходимо использовать API, которые могут привести к профилированию пользователей. Разработчикам, которые не предоставят удовлетворительный ответ, будет отказано в доступе к App Store.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме