Notificações push de aplicativos podem ser ladrões de dados!

Tommy Mysk, especialista em segurança cibernética, revelou em sua pesquisa que o recurso de notificação push do iPhone, que fornece atualizações sobre atividades de aplicativos, pode ser utilizado secretamente por vários aplicativos para extrair dados do usuário sem seu consentimento explícito.

Mysk divulgou recentemente uma representação visual, elucidando a utilização de um recurso inovador introduzido com o advento do iOS 10, que permite aos usuários personalizar notificações push. Esta funcionalidade específica, originalmente concebida como um meio de exibir informações críticas instantaneamente ao desbloquear a tela de bloqueio do dispositivo, revelando o conteúdo da mensagem e a correspondência descriptografada, foi descoberta como sendo empregada de forma nefasta por certos criadores de software.

De acordo com Mysk, vários aplicativos, incluindo TikTok , Facebook , Twitter , LinkedIn e Bing , exploram tempos de execução em segundo plano para personalizar notificações push, tudo isso para enviar informações analíticas e, portanto, relatórios sobre as atividades do usuário.

Foto de Chris Yang no Unsplash

A maneira como isso ocorre, conforme descrito por Mysk, evoca um sentimento de preocupação devido à sua capacidade de contornar as limitações comumente impostas pelo iOS na gama de ações que podem ser executadas por aplicativos durante a execução em segundo plano.

A Apple tem historicamente exercido uma supervisão rigorosa sobre os aplicativos que operam em segundo plano, com o objetivo principal de proteger a privacidade do usuário e, ao mesmo tempo, garantir o funcionamento perfeito dos dispositivos. Parece que alguns desenvolvedores descobriram um meio de contornar essas restrições através da utilização de notificações push como um canal para transmissão de informações em segundo plano.

Notificações push são um mecanismo pelo qual aplicativos móveis podem transmitir dados aos usuários sem seu consentimento ou conhecimento explícito. Esses dados podem incluir identificadores exclusivos conhecidos como técnicas de “impressão digital”, que se baseiam em informações sobre o próprio dispositivo, como configuração de hardware e software, além de detalhes sobre os padrões de uso de outros aplicativos instalados no dispositivo. Ao agregar esta informação, é possível criar um perfil abrangente dos hábitos de navegação de um indivíduo, permitindo assim anúncios direcionados mais eficazes.

A Apple implementou medidas para evitar o uso indevido de atividades de impressão digital em seus sistemas operacionais. A fim de restringir a coleta não autorizada de dados, espera-se que a empresa introduza recursos nas funções intrínsecas do sistema operacional para impedir tais práticas. A partir do iOS 14.5, iPadOS 14.5 e tvOS 14.5 e posteriores, os desenvolvedores de aplicativos são obrigados a obter consentimento explícito antes de monitorar a atividade de um usuário em aplicativos e sites de terceiros.

Direcionamos nossos leitores para a parte específica deste site dedicada a notícias e informações sobre segurança de TI.

*️⃣ Link da fonte:

Chris Yang , Unsplash , explica ,