В iPhone нашли лазейку для скрытой слежки за пользователем через push-уведомления

Некоторые приложения на iPhone способны собирать и отправлять данные о действиях пользователя незаметно для последнего даже несмотря на то, что для защиты персональных данных и оптимизации быстродействия iOS жёстко ограничивает активность в фоновом режиме.

Независимый эксперт по информационной безопасности Томми Мыск (Tommy Mysk) обнаружил, что для скрытного сбора и отправки статистики приложения могут использовать push-уведомления.

В идеале iOS не должна позволять приложениям запускать какие-либо процессы, если их не инициировал или не разрешил пользователь. При переходе приложения в фоновый режим система может лишь дать ему завершить выполнение нескольких начатых ранее задач (например, дозагрузить файл). Однако в случае поступлении push-уведомления iOS допускает фоновую активность связанного с ним приложения в течение некоторого времени без предупреждения пользователя. Это время обычно нужно для расшифровки сообщения или загрузки дополнительного контента. Именно в этот момент программа и может передавать на удалённые серверы «цифровые отпечатки пальцев», то есть сведения о конфигурации устройства и сценариях его применения пользователем (какой софт чаще используется, какой контент дольше просматривается и т. п.). Самое безобидное, для чего эти данные будут использованы — показ таргетированной рекламы.

Вместе с тем Томми Мыск поспешил успокоить особо впечатлительных владельцев iPhone, уточнив, что Apple не поддерживает сбор и отправку «цифровых отпечатков пальцев» и в будущем будет требовать у разработчиков ПО объяснений, зачем им нужен доступ к определённым API, с помощью которых этот сбор осуществляется. Кроме того, начиная с iOS 14.5 приложения должны получать разрешение пользователя на отслеживание его действий в приложениях и в Интернете.