Aplicativos populares exploram notificações push em iPhones para coletar secretamente dados do usuário, descobriu o pesquisador de segurança da informação Tommy Mysk. Segundo ele, para isso, os aplicativos utilizam o recurso introduzido no iOS 10 para configurar notificações push, que permite aos aplicativos enviar notificações com conteúdo adicional ou descriptografar mensagens criptografadas.
Parece que o recurso de configuração de notificações push no iOS começou a ser usado por alguns desenvolvedores para fins muito duvidosos. Em um novo vídeo que descreve essa prática, Mysk demonstrou como vários aplicativos populares, incluindo TikTok, Facebook✴, Twitter, LinkedIn e Bing, usam o curto tempo de execução em segundo plano fornecido para configurar notificações para enviar informações analíticas.
Essa prática é particularmente preocupante porque ignora as restrições típicas que o iOS impõe à atividade de aplicativos em segundo plano. A Apple declarou controles rígidos sobre aplicativos executados em segundo plano, em um esforço para proteger a privacidade do usuário e garantir o desempenho ideal do dispositivo. No entanto, o recurso de notificações push parece ter fornecido inadvertidamente um backdoor para os aplicativos transferirem dados em segundo plano.
O tipo de dados enviados inclui assinaturas e dados exclusivos do dispositivo que podem ser usados para imprimir digitalmente o dispositivo e rastrear usuários em vários aplicativos. A impressão digital digital é um método de coleta de informações específicas sobre um dispositivo, como configuração de hardware e software, para criar um ID de usuário exclusivo. Esse identificador é usado para rastrear a atividade do usuário em vários aplicativos e direcionar anúncios.
A Apple não permite esse tipo de informação e, em um futuro próximo, exigirá que os desenvolvedores declarem claramente por que seus aplicativos precisam de acesso às APIs usadas para coletar informações do dispositivo e do usuário. A medida está alinhada com a política da Apple de fortalecer a privacidade do usuário, que agora exige que os aplicativos obtenham permissão do usuário para rastreamento.