IT之家 1 月 25 日訊息,安全研究人員 Tommy Mysk 近日揭露,部份熱門 iPhone 套用正在利用推播通知功能秘密發送使用者數據,繞過 iOS 系統對後台程式的限制,引發了使用者私密安全擔憂。
Mysk 在一段視訊中演示了這一做法,他指出,蘋果在 iOS 10 中引入的一項推播通知自訂功能被部份開發者「別有用心」地利用了,該功能原本是為了讓套用豐富通知內容或解密加密資訊,但一些開發商卻將其用於更隱蔽的數據傳輸。Mysk 發現,包括 TikTok、Facebook、Twitter、領英和必應等在內的多個熱門套用,正在利用推播通知的短暫後台執行時間,發送使用者分析資訊。
IT之家註意到,這種做法之所以令人擔憂,是因為它繞過了 iOS 系統通常對後台套用活動施加的限制 。蘋果一直嚴格控制背景執行的應用程式,以保護使用者私密並確保裝置效能。然而,推播通知功能似乎無意中為應用程式提供了一個後台數據傳輸的後門。
被發送的數據型別包括可用於跨套用 Fingerprinting(非傳統意義的指紋辨識)和跟蹤使用者的獨特裝置訊號,Fingerprinting 是一種收集裝置特定資訊(如硬體和軟體配置)以建立使用者唯一識別元的方法,然後,該識別元可用於跨不同套用追蹤使用者活動,進而用於定向廣告等目的。
蘋果並不允許 Fingerprinting,並很快會要求開發人員明確說明其應用程式為何需要存取常用於指紋辨識的 API。此舉符合蘋果加強使用者私密的努力,例如 iOS 14.5 中引入的 App Tracking Transparency 功能,該功能要求應用程式在跨其他公司應用程式和網站跟蹤使用者活動之前獲得使用者授權。
