Aplikacije za iPhone koriste push obavijesti kako bi poslale informacije o uređaju i drugu analitiku udaljenim web poslužiteljima, čak i kad aplikacije nisu otvorene
Prema novom izvješću tvrtke Mysk, push obavijesti zlorabi se za invazivno prikupljanje korisničkih podataka.
Aplikacije za iPhone koriste push obavijesti kako bi poslale informacije o uređaju i drugu analitiku udaljenim web poslužiteljima.
Programeri mogu prikupljati te podatke čak i ako aplikacija nije otvorena na uređaju, otkrili su istraživači Myska.
O čemu se radi?
Apple ne dopušta pokretanje aplikacija za operativni sustav iOS u pozadini i obustavlja neaktivne aplikacije zbog problema s privatnošću i performansama.
Međutim, kada korisnik primi push obavijest, iOS privremeno aktivira aplikaciju kako bi prilagodio obavijest za korisnika.
Iako iOS ponovno obustavlja aplikaciju nakon što završi tu radnju, aplikacije prikupljaju podatke o uređajima korisnika i šalju ih za to vrijeme dalje.
Mysk je na YouTubeu objavio video koji prikazuje testirane aplikacije kako prikupljaju podatke s uređaja putem push obavijesti.
Među njima su neke od najvećih društvenih mreža, kao što su Facebook, Instagram, TikTok, LinkedIn i X.
Programeri, piše Mashable, mogu iskoristiti ovo zaobilazno rješenje za pokretanje računalnog koda u pozadini na zahtjev. Sve što trebaju učiniti je poslati push obavijesti svojim korisnicima.
Mysk je također otkrio kako većina aplikacija koje se bave ovom praksom prikuplja podatke o uređaju kao što su vrijeme rada sustava, lokalizacija, jezik tipkovnice, dostupna memorija, status baterije, model uređaja, svjetlina zaslona i druge povezane informacije.
Ti su podaci relevantni kada se izrađuju jedinstveni profili kako bi se pratilo korisnike na mreži i prikazivalo im se ciljane oglase. Ovu praksu, poznatu kao uzimanje otisaka prstiju, Apple je zabranio u svojim pravilima za iOS.
Što možete učiniti?
Neki od programera aplikacija tvrde kako u Myskovom otkriću nema ništa zlonamjerno. LinkedIn i Meta Platforms su za Gizmodo demantirali kako se te podatke zlorabi.
LinkedIn je precizirao da se aktivnost zabilježena putem push obavijesti koristi kako bi se provjerilo da obavijesti rade. Uvjereni su kako je to u skladu s Appleovim smjernicama.
Krajem prošle godine push obavijesti na uređajima s iOS-om dospjele su na naslovnice kada je američki senator Ron Wyden dobio dojavu kako tijela za provođenje zakona i vlade mogu tražiti osjetljive podatke s korisničkih uređaja putem push obavijesti.
Nakon što je priča izbila u javnost, Apple je promijenio svoja pravila kako bi zahtijevao nalog za pretragu prije slanja korisničkih podataka.
Mysk preporučuje da korisnici koji su zabrinuti zbog ovog prikupljanja podataka isključe push obavijesti na svojim iPhoneima i iPadima.
Potrebno je odabrati opciju potpunog onemogućavanja push obavijesti za svaku aplikaciju kako bi prikupljanje podataka bilo zaustavljeno.