Page 1 of 1

TikTok、Meta、X 等公司探索 iOS 上的推送通知来收集数据

Posted: Sat Dec 21, 2024 6:18 am
by ayeshshiddika11
苹果公司长期以来一直明确表示,禁止在其设备上使用指纹识别,即通过设备的硬件和软件功能进行的跟踪活动。然而,一些热门应用却发现了这一禁令的漏洞,正在肆无忌惮地利用它。

隐私研究员 Tommy Mysk 发现,一些流行的 iOS 应用程序正在使用 2016 年首次推出的推送通知功能,将有关用户设备的详细数据发送到各自公司的服务器。

Mysk 解释说,他在检查几个社交媒体应用程序(包括 TikTok、Facebook、FB Messenger、Instagram、Threads)时以及当它们不运行时注意到了这种令人担忧且看似持续存在的模式。

此功能本质上并不是恶意的,并且有一个重要的目的。例如,它对于需要解码通知有效负载或下载附加内容以向用户显示通知的应用程序非常有用。当应用程序收到推送通知时,iOS 会发出信号让 比利时电报数据库 应用程序“唤醒”并运行一小段时间。在此过程中,应用程序可以执行开发人员想要的任何操作,包括更改通知的外观。这将是该功能的最终目的,但问题是应用程序还可以收集数据或发送有关用户当时的信息。

Mysk 指出,所研究的应用程序学会了通过将收集到的数据发送到远程服务器来充分利用有限的执行时间。研究人员将这种在后台运行代码的能力称为“数据密集型应用程序的金矿”。

但根据 Mysk 的说法,这一切是如何运作的呢?

Image

应用程序开发人员创建在后台运行的代码
开发者向应用程序用户发送推送通知。推送可以包含任何信息,无论是新闻、足球比赛的比分还是新的好友请求
用户的设备收到推送通知,但尚未显示在屏幕上。 iOS 识别推送通知来自社交媒体应用程序并在后台激活它。应用程序正在运行,但用户无法看到它或与之交互
应用程序在后台运行开发人员准备的代码。尽管这可能是无害的(例如,代码可用于向通知添加更多信息,包括图像),但此过程也可用于从用户设备收集数据并将其发送到开发人员的服务器。
该方案可以为开发人员提供有关用户设备的软件和硬件特性的信息的独特组合。

许多应用程序都使用此功能作为在后台静默运行时发送有关设备的详细信息的机会。这包括:位置、系统正常运行时间、键盘语言、可用内存、电池状态、设备型号、屏幕背光等。

迈斯克说,这些数据稍后可用于跨应用程序跟踪用户。

正在收集哪些数据?
在描述此技巧示例的视频中,Mysk 展示了社交媒体公司可以通过推送通知收集的数据类型。这种收集要么通过公司自己的服务进行,要么借助第三方软件进行,例如谷歌分析工具,例如Google Analytics和Firebase。