Diverse app per iOS stanno sfruttando processi in background attivati da notifiche push per raccogliere dati sugli utenti e sui dispositivi, potenzialmente permettendo la creazione di profili di fingerprinting utilizzati per il tracciamento.
Scoperta della Pratica e Rischi per la Privacy
Il ricercatore di sicurezza mobile Mysk ha scoperto questa pratica, rivelando come queste app aggirino le restrizioni di attività in background di Apple, costituendo un rischio per la privacy degli utenti di iPhone. L’analisi ha mostrato che questa pratica è molto più diffusa di quanto si pensasse in precedenza, coinvolgendo molte app con un’ampia base di utenti.
Come Funziona
Apple ha progettato iOS per non permettere alle app di funzionare in background per prevenire il consumo di risorse e per una maggiore sicurezza. Tuttavia, con iOS 10, Apple ha introdotto un nuovo sistema che consente alle app di avviarsi silenziosamente in background per elaborare nuove notifiche push prima che vengano visualizzate sul dispositivo.
Mysk ha scoperto che molte app abusano di questa funzionalità, trattandola come un’opportunità per trasmettere dati sul dispositivo ai loro server. A seconda dell’app, ciò include tempo di attività del sistema, impostazioni locali, lingua della tastiera, memoria disponibile, stato della batteria, utilizzo dello spazio di archiviazione, modello del dispositivo e luminosità del display.
Implicazioni del Fingerprinting e Tracciamento degli Utenti
I dati raccolti possono essere utilizzati per il fingerprinting o la profilazione degli utenti, permettendo un tracciamento persistente, che è severamente proibito in iOS. L’abuso delle notifiche push rappresenta quindi una significativa preoccupazione per la privacy.
Misure di Mitigazione
Apple prevede di colmare questa lacuna e prevenire ulteriori abusi delle sveglie delle notifiche push introducendo restrizioni più severe sull’uso delle API per i segnali dei dispositivi. A partire dalla primavera del 2024, le app dovranno dichiarare esattamente perché hanno bisogno di usare API che possono essere abusate per il fingerprinting.
Fino a quel momento, gli utenti di iPhone che desiderano evitare questo fingerprinting dovrebbero disabilitare completamente le notifiche push. Purtroppo, rendere le notifiche silenziose non impedirà l’abuso.