研究揭示热门应用滥用苹果 iPhone 推送通知,暗中窃取用户数据

1 月 25 日消息,安全研究人员 Tommy Mysk 近日揭露,部分热门 iPhone 应用正在利用推送通知功能秘密发送用户数据,绕过 iOS 系统对后台程序的限制,引发了用户隐私安全担忧。

Mysk 在一段视频中演示了这一做法,他指出,苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了,该功能原本是为了让应用丰富通知内容或解密加密信息,但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现,包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用,正在利用推送通知的短暂后台执行时间,发送用户分析信息。

注意到,这种做法之所以令人担忧,是因为它绕过了 iOS 系统通常对后台应用活动施加的限制。苹果一直严格控制后台运行的应用程序,以保护用户隐私并确保设备性能。然而,推送通知功能似乎无意中为应用程序提供了一个后台数据传输的后门。

被发送的数据类型包括可用于跨应用 Fingerprinting(非传统意义的指纹识别)和跟踪用户的独特设备信号,Fingerprinting 是一种收集设备特定信息(如硬件和软件配置)以创建用户唯一标识符的方法,然后,该标识符可用于跨不同应用追踪用户活动,进而用于定向广告等目的。

苹果并不允许 Fingerprinting,并很快会要求开发人员明确说明其应用程序为何需要访问常用于指纹识别的 API。此举符合苹果加强用户隐私的努力,例如 iOS 14.5 中引入的 App Tracking Transparency 功能,该功能要求应用程序在跨其他公司应用程序和网站跟踪用户活动之前获得用户许可。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平