Додатки для iPhone стежать за нами через повідомлення

Експерти компанії з розробки програмного забезпечення Mysk з’ясували, що популярні програми для iOS шпигуть за користувачами незвичайним методом — через пуш-повідомлення . Підхід дозволяє збирати цифрові відбитки для відстеження, наприклад, у рекламних цілях.

Як влаштовано схему?

iOS автоматично зупиняє роботу неактивних утиліт, щоб заощадити ресурси смартфона, а заразом запобігти фоновому збору даних. Але в iOS 10 з’явився інструмент UNNotificationServiceExtension , який ненадовго пробуджує програму, коли вона отримує push-повідомлення. Це корисно, якщо сервіс хоче модифікувати вміст оповіщення, перш ніж його побачить користувач. Наприклад, месенджери з кінцевим шифруванням використовують цей механізм, щоб локально розшифрувати повідомлення та показати у повідомленні вихідний текст. iOS знову «вбиває» програму відразу після того, як вона завершує модифікацію оповіщення.

Але навіть обмежена в часі можливість виконувати завдання у фоновому режимі – це золота жила для творців софту, пишуть аналітики Mysk. Тому деякі розробники користуються UNNotificationServiceExtension для запуску будь-якого коду в будь-який момент. Достатньо лише ініціювати відправлення push-повідомлення користувачам.

Як з’ясували експерти, деякі утиліти встигають відправити на сервер інформацію про пристрій: час з моменту перезавантаження, мову клавіатури, обсяг вільної пам’яті, заряд батареї, модель телефону, яскравість дисплея тощо.

Здається, що це невинні відомості. Але комбінація безлічі параметрів дозволяє визначити унікальний цифровий відбиток (фінгерпринт) гаджета. Цифровий відбиток часто застосовують, щоб відстежувати дії користувача в різних додатках та підлаштовувати персональну рекламу.

Подібною схемою займаються Facebook, Instagram, TikTok, LinkedIn та X, стверджують у Mysk.

Що кажуть розробники?

Представник LinkedIn запевнив видання Gizmodo, що їх програмне забезпечення не використовує повідомлення для збору даних про користувачів в рекламних або аналітичних цілях. Інформація потрібна “тільки для підтвердження того, що повідомлення було успішно надіслано”, і ніколи не передається назовні.

У прес-службі Meta заявили, що використовують відомості, зібрані під час відправлення сповіщень, «щоб доставляти своєчасні та надійні повідомлення за допомогою API Apple».

Як уникнути відстеження?

Висновки Mysk невтішні: щоб запобігти можливості відстеження, доведеться повністю відключити повідомлення для всіх програм, що зловживають. Ось як це зробити:

1. Відкрийте «Параметри» та перейдіть до розділу «Сповіщення».
2. Знайдіть потрібне програмне забезпечення у списку і натисніть на нього.
3. Переведіть тумблер «Дозволити сповіщення» у неактивне положення.

З весни 2024 року Apple вимагатиме від розробників пояснити, навіщо їхня додаток використовує унікальні ідентифікатори пристрою. Так компанія має намір боротися зі збором «фінгерпринтів».