سواستفاده برنامههای آیفون از Push Notificationهای iOS برای جمعآوری دادههای کاربران
اخبار داغ فناوری اطلاعات و امنیت شبکه
بسیاری از برنامههای iOS از فرآیندهای پسزمینهای که توسط پوش نوتیفیکیشن ایجاد میشود، برای جمعآوری دادههای کاربر در دستگاهها که به طور بالقوه امکان ایجاد پروفایلهای فینگرپرینتینگ مورد استفاده برای ردیابی را فراهم مینماید، استفاده میکنند.
به گفته محقق موبایل Mysk که این نکته را کشف کرده است، این برنامهها محدودیتهای فعالیت برنامههای پسزمینه اپل را دور میزنند و برای کاربران آیفون خطری در راستای حفظ حریم خصوصی ایجاد میکنند.
در بخشی از دستورالعملهای بررسی اپل اپ استور آمده است: "برنامهها نباید سعی کنند بهطور مخفیانه یک پروفایل کاربر بر اساس دادههای جمعآوریشده بسازند و همچنین نمیبایست در راستای تلاش، تسهیل یا تشویق دیگران به شناسایی کاربران ناشناس یا بازسازی پروفایلهای کاربر بر اساس دادههای جمعآوریشده از APIهای ارائهشده توسط اپل یا هر دادهای که گفته میشود بهصورت «ناشناس»، «تجمیع» یا غیرقابل شناسایی جمعآوری شده، اقدام شود".
پس از تجزیهوتحلیل دادههایی که هنگام دریافت یا پاک کردن اعلانها توسط فرآیندهای پسزمینه iOS ارسال میشوند، Mysk دریافت که این عمل بسیار رایجتر از آنچه قبلا تصور میشده است و شامل بسیاری از برنامهها با پایگاه کاربری قابل توجهی است.
اپل iOS را طوری طراحی کرده که به برنامهها اجازه اجرا در پسزمینه را جهت جلوگیری از مصرف منابع و امنیت بهتر نمیدهد. هنگامی که از یک برنامه استفاده نمیکنید، آنها به حالت تعلیق در میآیند و درنهایت فعالیت آنها قطع میشود، بنابراین نمیتوانند در فعالیتهای پسزمینه نظارت کرده یا تداخل ایجاد کنند.
بااینحال، در iOS 10، اپل سیستم جدیدی را معرفی کرد که به برنامهها اجازه میدهد به آرامی در پسزمینه راهاندازی شوند تا Push Notification جدید را قبل از نمایش دستگاه پردازش کنند.
این سیستم به برنامههایی که پوش نوتیفیکیشنها را دریافت میکنند اجازه میدهد تا payload ورودی را رمزگشایی کنند و محتوای اضافی را از سرورهای خود دانلود کنند تا قبل از ارائه بهکاربر، آن را تکمیل کنند. پس از انجام این فرآیند، برنامه دوباره خاتمه مییابد.
میسک از طریق آزمایش متوجه شد که بسیاری از برنامهها از این ویژگی سواستفاده میکنند و آن را فرصتی برای انتقال دادههای مربوط به یک دستگاه به سرورهای خود میدانند. بسته به برنامه، این موارد شامل زمان فعال بودن سیستم، موقعیت محلی، زبان صفحه کلید، حافظه موجود، وضعیت باتری، استفاده از فضای ذخیرهسازی، مدل دستگاه و روشنایی نمایشگر میشود.
این محقق معتقد است که این دادهها را میتوان برای فیتنگرپرینتینگ/ پروفایلسازی کاربر استفاده کرد و امکان ردیابی مداوم را فراهم میکند، که در iOS اکیدا ممنوع است.
این محقق در پستی در توییتر توضیح داد: "تستهای ما نشان میدهد که این عمل بیشتر از آنچه انتظار داشتیم رایج است. حجم و گسترهای که بسیاری از برنامهها اطلاعات دستگاه را پس از راهاندازی یک اعلان ارسال میکنند، شگفتآور است".
وی یک ویدیو را منتشر کرد که تبادل ترافیک شبکه را در حین دریافت push notification توسط TikTok، Facebook، ایکس (توییتر سابق)، LinkedIn و Bing نشان میدهد.
مشخص شد که برنامهها طیف وسیعی از دادههای دستگاه را با استفاده از سرویسهایی مانند Google Analytics، Firebase یا سیستمهای اختصاصی خود به سرورهای خود ارسال میکنند.
بلیپینگ کامپیوتر با مایکروسافت، ایکس، اپل، تیک تاک و لینکدین در مورد بازیابی اطلاعات کاربران توسط برنامههایشان تماس گرفت، اما پاسخی از آنها دریافت نشد.
اپل با تشدید محدودیتها در استفاده از APIها برای سیگنالهای دستگاه، این معضل را برطرف خواهد نمود و از سواستفاده بیشتر از دسترسی پوش نوتیفیکیشنها جلوگیری میکند.
این محقق به بلیپینگ کامپیوتر گفت که از بهار ٢٠٢٤، برنامهها باید دقیقا دلیل نیاز به استفاده از APIهایی را که میتوانند برای فینگرپرینتینگ مورد سواستفاده قرار گیرند، اعلام کنند.
این APIها برای بازیابی اطلاعات مربوط به یک دستگاه، مانند فضای دیسک، زمان راهاندازی سیستم، برچسبهای زمانی فایل، صفحهکلیدهای فعال و پیشفرضهای کاربر استفاده میشوند.
اگر برنامهها بهدرستی استفاده خود از این APIها و آنچه از آنها استفاده میشود را اعلام نکنند، اپل میگوید که حضور آنها در اپ استور را محدود مینماید.
تا زمانی که این اتفاق نیفتد، کاربران آیفون که میخواهند از این فینگرپرینتینگها اجتناب کنند، باید push notificationها را به طور کامل غیرفعال نمایند. متاسفانه، سایلنت نمودن اعلانها از مورد سواستفاده قرار گرفتنشان جلوگیری نمیکند.
برای غیرفعال کردن اعلانها، «Setting» را باز کرده، به قسمت «Notifications» بروید، برنامهای را که میخواهید اعلانها را مدیریت کنید انتخاب کنید و برای غیرفعال کردن «Allow Notifications» روی گزینه، ضربه بزنید.
در ماه دسامبر، فاش شد که دولتها درخواست سوابق push notification ارسال شده از طریق سرورهای اپل و گوگل که بهعنوان راهی جهت جاسوسی از کاربران است را داشتهاند.
اپل گفت که دولت ایالات متحده آنها را از به اشتراک گذاشتن هرگونه اطلاعات در مورد این درخواستها منع کرده و از آن زمان گزارش شفافیت عملکرد خود را به روز کرده است.
برچسب ها: فیتنگرپرینتینگ, Google Analytics, Firebase, پوش نوتیفیکیشن, Push Notification, Cybernews, Bing, آیفون, Cyber Warfare, fingerprinting, API, TikTok, LinkedIn, Facebook, iOS, cybersecurity, Apple, اپل, iPhone , جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news