- Některé aplikace zneužívají notifikace pro sběr příliš mnoha dat
- Ke sběru citlivých dat dochází navzdory zabezpečením Applu
- Jedinou spolehlivou ochranou je notifikace problémových aplikací vypnout
Nedávná studie výzkumníků společnosti Mysk odhalila, jak populární aplikace jako Facebook, TikTok, LinkedIn a Bing používají techniku zvanou fingerprinting ke sběru dat z iPhonů prostřednictvím push notifikací.
Zneužitelná ochrana soukromí
Navzdory závazku společnosti Apple chránit soukromí umožňuje tato metoda aplikacím sledovat a shromažďovat unikátní údaje o uživatelích, přičemž využívá funkci zavedenou už v systému iOS 10. Apple, který je známý svým striktním a velice důsledným postojem k soukromí uživatelů svých produktů, navrhl své operační systémy tak, aby chránily uživatele před sledováním a prodejem dat třetích stran.
Jenže teď se ukázalo, že některé aplikace umějí takovou ochranu bez problémů obejít. Podle zjištění společnosti Mysk totiž iOS při přijetí push notifikace dočasně probudí aplikaci „spící“ na pozadí. Toto okno pak daná aplikace využije k přizpůsobení oznámení, během něhož může aplikace shromažďovat citlivé údaje. Ke sběru dat tak dochází navzdory tomu, že iOS obecně omezuje činnost aplikací na pozadí právě z důvodu ochrany soukromí (ale například i kvůli výkonu či šetření baterie).
Více než běžná analytická data?
Pokud vás zajímají technické detaily a názorná ukázka, určitě se podívejte na přiložené video na YouTube. V něm výzkumníci vysvětlují, jak tyto aplikace využívají přidělený čas pro spuštění na pozadí k odesílání analytických dat zpět vývojářům. Proces zahrnuje dešifrování zašifrovaných souborů a stahování dalšího obsahu, který obohacuje oznámení. Jakmile aplikace doručí přizpůsobené oznámení nebo vyprší čas na pozadí, je ukončena.
Tato technika umožňuje aplikacím identifikovat unikátní signály z iPhonu uživatele, což umožňuje a usnadňuje mimo jiné sledování různých aplikací od různých vývojářů. V reakci na tato zjištění Apple trvá na svém postoji proti tzv. fingerprintingu a požaduje, aby vývojáři zdůvodnili potřebu přístupu k rozhraní API, který by mohl tyto postupy usnadnit. Pro uživatele je však okamžitým řešením vypnutí oznámení těchto aplikací, čímž se zabrání neoprávněnému shromažďování údajů.
Úplné podrobnosti této studie a testu, včetně toho, jak tyto aplikace využívají push oznámení k přístupu k datům iPhonu, jsou k dispozici ve zmíněném videu.