研究揭示熱門應(yīng)用濫用蘋果 iPhone 推送通知，暗中竊取用戶數(shù)據(jù)

IT之家 1 月 25 日消息，安全研究人員 Tommy Mysk 近日揭露，部分熱門 iPhone 應(yīng)用正在利用推送通知功能秘密發(fā)送用戶數(shù)據(jù)，繞過(guò) iOS 系統(tǒng)對(duì)后臺(tái)程序的限制，引發(fā)了用戶隱私安全擔(dān)憂。

Mysk 在一段視頻中演示了這一做法，他指出，蘋果在 iOS 10 中引入的一項(xiàng)推送通知自定義功能被部分開(kāi)發(fā)者“別有用心”地利用了，該功能原本是為了讓應(yīng)用豐富通知內(nèi)容或解密加密信息，但一些開(kāi)發(fā)商卻將其用于更隱蔽的數(shù)據(jù)傳輸。Mysk 發(fā)現(xiàn)，包括 TikTok、Facebook、Twitter、領(lǐng)英和必應(yīng)等在內(nèi)的多個(gè)熱門應(yīng)用，正在利用推送通知的短暫后臺(tái)執(zhí)行時(shí)間，發(fā)送用戶分析信息。

IT之家注意到，這種做法之所以令人擔(dān)憂，是因?yàn)樗@過(guò)了 iOS 系統(tǒng)通常對(duì)后臺(tái)應(yīng)用活動(dòng)施加的限制。蘋果一直嚴(yán)格控制后臺(tái)運(yùn)行的應(yīng)用程序，以保護(hù)用戶隱私并確保設(shè)備性能。然而，推送通知功能似乎無(wú)意中為應(yīng)用程序提供了一個(gè)后臺(tái)數(shù)據(jù)傳輸?shù)暮箝T。

被發(fā)送的數(shù)據(jù)類型包括可用于跨應(yīng)用 Fingerprinting（非傳統(tǒng)意義的指紋識(shí)別）和跟蹤用戶的獨(dú)特設(shè)備信號(hào)，F(xiàn)ingerprinting 是一種收集設(shè)備特定信息（如硬件和軟件配置）以創(chuàng)建用戶唯一標(biāo)識(shí)符的方法，然后，該標(biāo)識(shí)符可用于跨不同應(yīng)用追蹤用戶活動(dòng)，進(jìn)而用于定向廣告等目的。

蘋果并不允許 Fingerprinting，并很快會(huì)要求開(kāi)發(fā)人員明確說(shuō)明其應(yīng)用程序?yàn)楹涡枰L問(wèn)常用于指紋識(shí)別的 API。此舉符合蘋果加強(qiáng)用戶隱私的努力，例如 iOS 14.5 中引入的 App Tracking Transparency 功能，該功能要求應(yīng)用程序在跨其他公司應(yīng)用程序和網(wǎng)站跟蹤用戶活動(dòng)之前獲得用戶許可。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。