Il ricercatore specializzato in sicurezza informatica Tommy Mysk ha dimostrato che le notifiche push di iPhone, sistema che fornisce informazioni aggiornate sulle attività nell’app, sono sfruttate da varie app per raccogliere dati sugli utenti a loro insaputa.
Mysk ha diffuso un filmato, spiegando che alcune app per iOS sfruttano una funzionalità disponibile da iOS 10 in poi, pensata per consentire di personalizzare le notifiche push. La funzione in questione, intesa inizialmente per consentire la visualizzazione a colpo d’occhio delle notifiche direttamente dalla schermata di blocco, mostrando contenuti e o messaggi decifrati, è a quanto pare sfruttata da alcuni sviluppatori per attività poco lecite.
Secondo Mysk, varie app, incluse TikTok, Facebook, Twitter, LinkedIn e Bing, sfruttano i tempi di esecuzione in background per personalizzare le notifiche push, tutto ciò per inviare informazioni di analytics, quindi report sulle attività dell’utente.
Questo modo di operare, spiega Mysk, è particolarmente preoccupante perché riesce ad aggirare le restrizioni tipicamente imposte da iOS per le possibili attività delle app in background.
Apple mantiene da sempre uno stretto controllo sulle app eseguite in secondo piano, in modo da proteggere la privacy dell’utente e garantire prestazioni ottimali del dispositivo; con le notifiche push, alcuni sviluppatori sembrano essere riusciti a trovare un modo per scavalcare le limitazioni di Apple e trasmettere dati in background.
Tra i dati che le app possono inviare all’insaputa dell’utente tramite notifiche push rientrano elementi di fingerprinting (per tracciare in modo univoco le attività online) tenendo conto di informazioni sul dispositivo (configurazioni hardware e software) e dell’apertura delle varie app, assemblando un profilo che aiuta a identificare le abitudini dell’utente, con ovvi vantaggi per chi vende pubblicità mirata.
Apple non consente di sfruttare attività di fingerprinting e con ogni probabilità interverrà a breve con funzionalità intrinseche nel sistema operativo per bloccare raccolte dati di questo tipo. Da iOS 14.5, iPadOS 14.5 e tvOS 14.5 e versioni seguenti, le app devono chiedere l’autorizzazione prima di tracciare le attività dell’utente sulle app e i siti web di altre aziende.
Per tutte le notizie che trattano di sicurezza informatica rimandiamo i lettori alla sezione dedicata di macitynet.