Como as notificações push são usadas para mais do que apenas cookies em dispositivos iOS
-Privacidade
Muitos aplicativos iOS aproveitam processos em segundo plano acionados por notificações push para coletar dados dos usuários, possibilitando a criação de perfis “ad hoc” para rastreamento. A descoberta foi feita por pesquisadores da Mysk, empresa que não é novata nesse tipo de verificação. No passado, Mysk chamou a atenção da empresa liderada por Tim Cook ao alegar e demonstrar que a Apple coletava identificadores de usuários.
Seguindo a mesma linha, os especialistas da Mysk afirmam que um grande número de aplicativos iOS usam práticas menos cristalinas para realizar atividades de segurança. impressão digital ou para “arquivar” cada usuário Apple. Os aplicativos em questão contornam as restrições às operações em segundo plano que a Apple impõe e representam um risco à privacidade dos usuários do iPhone.
Notificações push no iOS usadas para criar perfis de usuários
De acordo com as diretrizes da Apple App Store, é proibido que aplicativos montem sub-repticiamente perfis de usuários por meio de informações obtidas, bem como ajudem, promovam ou defendam a identificação de indivíduos não identificados ou a reconstrução de perfis utilizando dados derivados da API da Apple ou dados proclamados como anonimizados, agregados ou de outra forma indistinguíveis.
A Apple projetou o iOS para não permitir que aplicativos executem processos em segundo plano, para evitar o consumo de recursos e para maior segurança. Quando não utilizados, os aplicativos iOS são primeiro “suspensos” e depois fechados à força, para que não possam interferir nas atividades em primeiro plano.
A partir do iOS 10, a Apple introduziu um novo sistema que permite que os aplicativos iniciam silenciosamente em segundo plano para processar novas notificações push antes que o dispositivo realmente as exiba. O sistema permite que os aplicativos baixem conteúdo adicional de seus servidores para enriquecer a notificação push antes que ela seja mostrada ao usuário.
Mysk descobriu que muitos aplicativos abusam desse recurso, explorando-o para trocar dados entre o servidor e o dispositivo do usuário. Entre as informações que podem ser enviadas estão, por exemplo, tempo de atividade do sistema (há quanto tempo o iOS está em execução), preferências regionais e de idioma, memória disponível, status da bateria, uso de armazenamento, modelo do dispositivo e brilho da tela. Essas informações, semelhantes à abordagem usada para impressão digital no lado da Web, podem ser exploradas para realizar atividades de criação de perfil, permitindo atividades de rastreamento persistentes, o que é expressamente proibido no iOS.
Durante uma apresentação de vídeo no YouTube, Mysk ilustra vários casos de transações baseadas em aplicativos conduzidas por plataformas populares como TikTok, Facebook, Twitter, LinkedIn e Bing, todas as quais geram notificações push após o recebimento.
Apple determinada a resolver o problema
Para resolver o problema rapidamente e evitar qualquer apropriação indébita de dados, a Apple pretende implementar diretrizes mais rígidas a partir da próxima primavera. Consequentemente, os desenvolvedores que pretendem utilizar recursos sensíveis da API suscetíveis de serem aproveitados para identificar dispositivos de usuários devem fornecer justificativas explícitas para fazê-lo. Portanto, será cada vez mais difícil para os aplicativos acessar essas APIs sem uma justificativa convincente para seu uso.
Na verdade, já em dezembro de 2023, tanto a Apple como o Google reconheceram ter fornecido a certas entidades governamentais informações relativas a notificações push mediante solicitação explícita.
Crédito da imagem de abertura: iStock.com – Vadym Plysiuk
barra lateral inferior relacionada 300
*️⃣ Link da fonte:
Diretrizes da Apple App Store , Neste vídeo do YouTube , porque eles precisam usar APIs , Vadym Plysiuk ,