Segundo o pesquisador móvel Mysk, alguns apps abusam de notificações push do iOS para coletar dados dos usuários.
Vários aplicativos iOS estão usando processos em segundo plano acionados por notificações push para coletar dados do usuário sobre dispositivos, permitindo potencialmente a criação de perfis de impressão digital usados para rastreamento.
Apps abusam de notificações push do iOS para coletar dados dos usuários
De acordo com o pesquisador móvel Mysk, que descobriu essa prática, esses aplicativos contornam as restrições de atividade de aplicativos em segundo plano da Apple e constituem um risco à privacidade dos usuários do iPhone.
Uma seção das diretrizes de revisão da Apple App Store diz que:
“Os aplicativos não devem tentar construir sub-repticiamente um perfil de usuário com base em dados coletados e não podem tentar, facilitar ou encorajar outros a identificar usuários anônimos ou reconstruir perfis de usuário com base em dados coletados de APIs fornecidas pela Apple ou quaisquer dados que você diga terem sido coletados de forma ‘anônima’, ‘agregada’ ou de outra forma não identificável.”
Depois de analisar quais dados são enviados pelos processos em segundo plano do iOS ao receber ou limpar notificações, Mysk descobriu que a prática era muito mais prevalente do que se pensava anteriormente, envolvendo muitos aplicativos com uma base de usuários considerável.
A Apple projetou o iOS para não permitir a execução de aplicativos em segundo plano para evitar o consumo de recursos e para melhor segurança.
Quando não estão usando um aplicativo, eles são suspensos e eventualmente encerrados, para que não possam monitorar ou interferir nas atividades em primeiro plano.
No iOS 10, porém, a Apple introduziu um novo sistema que permite que aplicativos sejam iniciados silenciosamente em segundo plano para processar novas notificações push antes que o dispositivo as exiba.
O sistema permite que aplicativos que recebem notificações push descriptografem a carga recebida e baixem conteúdo adicional de seus servidores para enriquecê-la antes de ser veiculada ao usuário. Feito esse processo, o aplicativo é encerrado novamente.
Por meio de testes, Mysk descobriu que muitos aplicativos abusam desse recurso, tratando-o como uma janela de oportunidade para transmitir dados sobre um dispositivo de volta aos seus servidores.
Dependendo do aplicativo, isso inclui tempo de atividade do sistema, localidade, idioma do teclado, memória disponível, status da bateria, uso de armazenamento, modelo do dispositivo e brilho da tela.
O pesquisador acredita que esses dados podem ser usados para impressão digital/perfil do usuário, permitindo rastreamento persistente, o que é estritamente proibido no iOS.
“Nossos testes mostram que essa prática é mais comum do que esperávamos. A frequência com que muitos aplicativos enviam informações do dispositivo após serem acionados por uma notificação é alucinante”, explica Mysk em postagem no Twitter.
Mysk criou o seguinte vídeo exibindo a troca de tráfego de rede durante a recepção de notificações push por TikTok, Facebook, X (Twitter), LinkedIn e Bing.
Descobriu-se que os aplicativos enviam uma ampla variedade de dados de dispositivos para seus servidores usando serviços como Google Analytics, Firebase ou seus próprios sistemas proprietários.
O site BleepingComputer contatou Microsoft, X, Apple, TikTok e LinkedIn sobre seus aplicativos que recuperavam dados do usuário, mas uma resposta não estava disponível imediatamente.
Mitigando o problema
A Apple preencherá a lacuna e evitará mais abusos de ativação de notificações push, reforçando as restrições ao uso de APIs para sinais de dispositivos.
Mysk disse ao BleepingComputer que, a partir da primavera de 2024, os aplicativos serão obrigados a declarar exatamente por que precisam usar APIs que podem ser usadas de forma abusiva para impressão digital.
Essas APIs são usadas para recuperar informações sobre um dispositivo, como espaço em disco, horário de inicialização do sistema, carimbos de data e hora de arquivos, teclados ativos e padrões do usuário.
Se os aplicativos não declararem adequadamente o uso dessas APIs e para que estão sendo usados, a Apple afirma que eles serão rejeitados na App Store.
Até que isso aconteça, os usuários do iPhone que desejam evitar essa impressão digital devem desativar totalmente as notificações push. Infelizmente, silenciar as notificações não evitará abusos.
Para desativar as notificações, abra ‘Configurações’, vá para ‘Notificações’, selecione o aplicativo para o qual deseja gerenciar as notificações e toque no botão de alternância para desativar ‘Permitir notificações’.
Em dezembro, foi revelado que os governos estavam solicitando registros de notificações push enviados através dos servidores da Apple e do Google como forma de espionar os usuários.
A Apple disse que o governo dos EUA os proibiu de compartilhar qualquer informação sobre essas solicitações e, desde então, atualizou seus relatórios de transparência.