熱門應用濫用蘋果 iPhone 推送通知，暗中竊取用戶數據

移動研究人員 Tommy Mysk 近日揭露，部分熱門應用利用 iPhone 推送通知功能秘密發送用戶數據，這引發了用戶隱私安全擔憂。

許多 iOS 應用程序正在使用由推送通知觸發的后臺進程來收集設備的用戶數據，從而有可能創建用于跟蹤的指紋檔案。 Mysk 指出，這些應用程序繞過了蘋果公司的后臺應用程序活動限制，對 iPhone 用戶構成了隱私風險。

蘋果應用商店審查指南中有這樣一段話：應用程序不應試圖根據收集到的數據偷偷建立用戶檔案，也不得試圖、協助或鼓勵他人識別匿名用戶，或根據從蘋果提供的應用程序接口收集到的數據重建用戶檔案。

喚醒并收集數據

為防止資源消耗和提高安全性，蘋果公司在最初設計 iOS 時就允許應用程序在后臺運行。在用戶不使用應用程序時，它們就會被暫停并最終終止，因此無法監控或干擾前臺活動。

不過，在 iOS 10 中，蘋果引入了一個新系統，允許應用程序在后臺悄悄啟動，以便在設備顯示新推送通知之前處理它們。

該系統允許接收推送通知的應用程序解密傳入的有效載荷，并從其服務器下載更多內容，以豐富推送通知的內容，然后再提供給用戶。完成這一步后，應用程序會再次終止。

通過測試，Mysk 發現許多應用程序濫用了這一功能，將其作為向其服務器發送設備數據的“機會之窗”。根據應用程序的不同，涉及的數據包括系統運行時間、地域、鍵盤語言、可用內存、電池狀態、存儲使用情況、設備型號和顯示亮度等等。

推送通知到達時 LinkedIn 的網絡數據交換

來源：Mysk

研究人員認為，這些數據可用于指紋識別/用戶特征分析，從而實現持續跟蹤，而這在 iOS 系統中是被嚴格禁止的。

Mysk 在 Twitter 上表示：通過這次測試，可以看到這種做法比預想的更為普遍。許多應用程序在被通知觸發后發送設備信息的頻率令人震驚。

Mysk 在一段視頻中演示了這一做法，他指出，蘋果在 iOS 10 中引入的一項推送通知自定義功能被部分開發者“別有用心”地利用了，該功能原本是為了讓應用豐富通知內容或解密加密信息，但一些開發商卻將其用于更隱蔽的數據傳輸。Mysk 發現，包括 TikTok、Facebook、Twitter、領英和必應等在內的多個熱門應用，正在利用推送通知的短暫后臺執行時間，發送用戶分析信息。

蘋果將通過加強對使用設備信號 API 的限制來堵住漏洞，防止推送通知喚醒功能被進一步濫用。從 2024 年春季開始，應用程序將被要求準確聲明為什么需要使用可能被濫用于指紋識別的 API。

這些 API 可用于檢索設備信息，如磁盤空間、系統啟動時間、文件時間戳、活動鍵盤和用戶默認設置。

蘋果表示，如果應用程序沒有正確聲明其使用這些 API 的情況和用途，就不能在 App Store 上架。

在此之前，希望避免這種指紋識別的 iPhone 用戶應禁用推送通知。但將通知設置為靜音并不能防止濫用，想要禁用通知，需打開 "設置"，前往 "通知"，選擇要管理通知的應用程序，然后點擊切換按鈕禁用 "允許通知"。

2023年12 月，有消息稱美國政府要求通過蘋果和谷歌服務器發送推送通知記錄，以此來監視用戶。但蘋果表示，美國政府禁止他們分享有關這些請求的任何信息，并在此后更新了他們的透明度報告。

參考來源：iPhone apps abuse iOS push notifications to collect user data (bleepingcomputer.com)