Il ricercatore di sicurezza Tommy Mysk ha evidenziato che le notifiche push degli iPhone vengono utilizzate da app popolari per inviare in modo segreto dati riguardanti l’utente.
In un nuovo video che illustra questa pratica, Mysk ha evidenziato come alcune app per iOS sfruttino una funzione introdotta con iOS 10, pensata per consentire alle app di personalizzare le notifiche push. Questa funzione, inizialmente progettata per consentire alle app di arricchire le notifiche con contenuti aggiuntivi o decifrare messaggi criptati, sembra essere stata riadattata da alcuni sviluppatori per attività più segrete.
Secondo le scoperte di Mysk, diverse applicazioni popolari, tra cui TikTok, Facebook, X, LinkedIn e Bing, utilizzano il breve tempo di esecuzione in background concesso per la personalizzazione delle notifiche per inviare informazioni analitiche.
Questa pratica è particolarmente preoccupante perché aggira le tipiche restrizioni imposte da iOS sulle attività in background delle app. Apple ha sempre mantenuto un controllo rigoroso sulle applicazioni in esecuzione in background per proteggere la privacy dell’utente e garantire le migliori prestazioni del dispositivo. Tuttavia, la funzione di notifica push sembra aver involontariamente fornito un varco per le app per condurre trasmissioni di dati in background.
Il tipo di dati inviato include segnali unici del dispositivo che possono essere utilizzati per il rilevamento delle impronte digitali e per tracciare gli utenti tra diverse app. Il rilevamento delle impronte digitali è un metodo per raccogliere informazioni specifiche su un dispositivo, come la sua configurazione hardware e software, per creare un identificatore unico dell’utente. Questo identificatore può quindi essere utilizzato per tracciare le attività dell’utente tra diverse applicazioni, ad esempio per scopi pubblicitari mirati.
Apple non permette il rilevamento delle impronte digitali e presto richiederà agli sviluppatori di specificare esplicitamente perché le loro app necessitano dell’accesso alle API spesso utilizzate per questo scopo.
Questa mossa è in linea con gli sforzi di Apple per rafforzare la privacy dell’utente, come l’introduzione di Richiesta tracciamento attività in iOS 14.5, che richiede alle app di ottenere il permesso dell’utente prima di tracciare la loro attività tra le app e i siti web di altre aziende.
Leggi o Aggiungi Commenti