Голем број iOS апликации користат процеси во заднина активирани од push известувања за собирање податоци за корисничкиот уред, што потенцијално овозможува создавање профили што се користат за следење на корисниците.
Ова го тврди истражувачот Mysk, кој вели дека апликациите ги заобиколуваат ограничувањата на Apple за активноста на апликациите во заднина и затоа претставуваат ризик за приватноста за корисниците на iPhone.
„Апликациите не треба да се обидуваат прикриено да креираат кориснички профил врз основа на собрани податоци и не смеат да се обидуваат, да олеснуваат или поттикнуваат други да идентификуваат анонимни корисници или да реконструираат кориснички профили врз основа на податоци собрани од API-ите на Apple или какви било податоци за кои тврдите дека се собрани во „анонимизиран“, „агрегиран“ или неидентификуван начин. Ова е текст од делот за упатства на Apple App Store.
Со анализа на податоците испратени од процесите во заднина на iOS при примање или бришење известувања, Mysk откри дека оваа практика е многу почеста отколку што се мислеше, како и дека ја имаат и многу апликации со големи корисници.
Apple го дизајнираше iOS за да не дозволува апликациите да работат во заднина за да го спречи користењето на ресурсите и да обезбеди подобра безбедност. Сепак, со iOS 10, Apple воведе нов систем кој им овозможува на апликациите да работат тивко во позадина за да обработуваат нови push известувања пред уредот да ги прикаже. Кога тој процес ќе заврши, апликацијата повторно прекинува.
Mysk откри дека многу апликации ја злоупотребуваат оваа функција, третирајќи ја како можност за пренос на податоците од уредот на нивните сервери. Во зависност од апликацијата, ова вклучува време на работа на системот, локација, јазик на тастатурата, достапна меморија, статус на батеријата, искористување на просторот на уредот, модел на уредот и осветленост на екранот. Mysk верува дека овие податоци може да се користат за профилирање на корисници и упорно следење, што е строго забрането на iOS.
Тој објави видео на YouTube на кое се прикажува мрежниот сообраќај додека добива push известувања од апликациите TikTok, Facebook, X, LinkedIn и Bing.
Mysk вели дека апликациите испраќаат широк опсег на податоци од уредите до нивните сервери користејќи услуги како Google Analytics, Firebase или нивните сопствени системи.
Како што пренесува порталот BleepingComputer, Apple ќе спречи понатамошна злоупотреба на push известувањата со заострување на ограничувањата за користење на API. Mysk рече дека од пролетта 2024 година, апликациите ќе мора да наведат зошто треба да користат експлоатирачки API за корисниците на профили.
Ако апликациите не наведат дека ги користат овие API и за што се користат, Apple вели дека ќе бидат одбиени од App Store.
Додека тоа не се случи, корисниците на iPhone кои сакаат да избегнат профилирање треба да ги оневозможат push известувањата со одење до Поставки -> Известувања. Изберете ја апликацијата за која сакате да управувате со известувањата и допрете го прекинувачот за да го оневозможите „Дозволи известувања“.