Il ricercatore di sicurezza Tommy Mysk ha dimostrato che le notifiche push dell’iPhone vengono utilizzate dalle app più diffuse per inviare segretamente dati sull’utente.
In un nuovo video che illustra questa pratica, Mysk ha evidenziato come alcune app iOS sfruttino una funzionalità introdotta in iOS 10 progettata per consentire alle app di personalizzare le notifiche push.
Questa funzionalità, inizialmente pensata per consentire alle app di arricchire le notifiche con contenuti aggiuntivi o decrittografare messaggi crittografati, sembra essere stata riproposta da alcuni sviluppatori per attività più nascoste. Secondo i risultati di Mysk, varie applicazioni molto popolari, tra cui TikTok, Facebook, Twitter, LinkedIn e Bing, utilizzano il breve tempo di esecuzione in background concesso per la personalizzazione delle notifiche per inviare informazioni analitiche.
Questa pratica è particolarmente preoccupante perché aggira le tipiche restrizioni imposte da iOS sulle attività delle app in background. Apple ha sempre mantenuto uno stretto controllo sulle applicazioni in esecuzione in background per proteggere la privacy degli utenti e garantire prestazioni ottimali del dispositivo. Tuttavia, la funzione di notifica push sembra aver involontariamente fornito una backdoor affinché le app potessero effettuare la trasmissione dei dati in background. Una cosa simile può essere sfruttata anche tramite le ads in-app.
Il tipo di dati inviati include segnali univoci del dispositivo che possono essere utilizzati per rilevare alcuni dati e monitorare gli utenti su diverse app. Il fingerprinting è un metodo per raccogliere informazioni specifiche su un dispositivo, come le sue configurazioni hardware e software, allo scopo di creare un identificatore univoco per l’utente. Questo identificatore può essere utilizzato per tracciare le attività dell’utente su diverse applicazioni, che possono quindi essere utilizzate per varie attività come la pubblicità mirata.
Apple non consente il rilevamento di queste informazioni e presto richiederà agli sviluppatori di dichiarare esplicitamente perché le loro app necessitano di accedere alle API che vengono spesso utilizzate per il rilevamento di questi dati.