سواستفاده برنامه‌های آیفون از Push Notification‌های iOS برای جمع‌آوری داده‌های کاربران

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian ir iphone apps abuse ios push notifications to collect user
بسیاری از برنامه‌های iOS از فرآیند‌های پس‌زمینه‌ای که توسط پوش نوتیفیکیشن ایجاد می‌شود، برای جمع‌آوری داده‌های کاربر در دستگاه‌ها که به طور بالقوه امکان ایجاد پروفایل‌های فینگرپرینتینگ مورد استفاده برای رد‌یابی را فراهم می‌نماید، استفاده می‌کنند.

به گفته محقق موبایل Mysk که این نکته را کشف کرده است، این برنامه‌ها محدودیت‌های فعالیت برنامه‌های پس‌زمینه اپل را دور می‌زنند و برای کاربران آیفون خطری در راستای حفظ حریم خصوصی ایجاد می‌کنند.

در بخشی از دستورالعمل‌های بررسی اپل اپ استور آمده است: "برنامه‌ها نباید سعی کنند به‌طور مخفیانه یک پروفایل کاربر بر اساس داده‌های جمع‌آوری‌شده بسازند و همچنین نمی‌بایست در راستای تلاش، تسهیل یا تشویق دیگران به شناسایی کاربران ناشناس یا بازسازی پروفایل‌های کاربر بر اساس داده‌های جمع‌آوری‌شده از API‌های ارائه‌شده توسط اپل یا هر داده‌ای که گفته می‌شود به‌صورت «ناشناس»، «تجمیع» یا غیرقابل شناسایی جمع‌آوری شده، اقدام شود".

پس از تجزیه‌و‌تحلیل داده‌هایی که هنگام دریافت یا پاک کردن اعلان‌ها توسط فرآیند‌های پس‌زمینه iOS ارسال می‌شوند، Mysk دریافت که این عمل بسیار رایج‌تر از آنچه قبلا تصور می‌شده است و شامل بسیاری از برنامه‌ها با پایگاه کاربری قابل توجهی است.

اپل iOS را طوری طراحی کرده که به برنامه‌ها اجازه اجرا در پس‌زمینه را جهت جلوگیری از مصرف منابع و امنیت بهتر نمی‌دهد. هنگامی که از یک برنامه استفاده نمی‌کنید، آنها به حالت تعلیق در می‌آیند و در‌نهایت فعالیت آنها قطع می‌شود، بنابراین نمی‌توانند در فعالیت‌های پس‌زمینه نظارت کرده یا تداخل ایجاد کنند.

با‌این‌حال، در iOS 10، اپل سیستم جدیدی را معرفی کرد که به برنامه‌ها اجازه می‌دهد به آرامی در پس‌زمینه راه‌اندازی شوند تا Push Notification جدید را قبل از نمایش دستگاه پردازش کنند.

این سیستم به برنامه‌هایی که پوش نوتیفیکیشن‌ها را دریافت می‌کنند اجازه می‌دهد تا payload ورودی را رمزگشایی کنند و محتوای اضافی را از سرور‌های خود دانلود کنند تا قبل از ارائه به‌کاربر، آن را تکمیل کنند. پس از انجام این فرآیند، برنامه دوباره خاتمه می‌یابد.

میسک از طریق آزمایش متوجه شد که بسیاری از برنامه‌ها از این ویژگی سواستفاده می‌کنند و آن را فرصتی برای انتقال داده‌های مربوط به یک دستگاه به سرور‌های خود می‌دانند. بسته به برنامه، این موارد شامل زمان فعال بودن سیستم، موقعیت محلی، زبان صفحه کلید، حافظه موجود، وضعیت باتری، استفاده از فضای ذخیره‌سازی، مدل دستگاه و روشنایی نمایشگر می‌شود.

takian ir iphone apps abuse ios push notifications to collect user
این محقق معتقد است که این داده‌ها را می‌توان برای فیتنگرپرینتینگ/ پروفایل‌سازی کاربر استفاده کرد و امکان رد‌یابی مداوم را فراهم می‌کند، که در iOS اکیدا ممنوع است.

این محقق در پستی در توییتر توضیح داد: "تست‌های ما نشان می‌دهد که این عمل بیشتر از آنچه انتظار داشتیم رایج است. حجم و گستره‌ای که بسیاری از برنامه‌ها اطلاعات دستگاه را پس از راه‌اندازی یک اعلان ارسال می‌کنند، شگفت‌آور است".

وی یک ویدیو را منتشر کرد که تبادل ترافیک شبکه را در حین دریافت push notification توسط TikTok، Facebook، ایکس (توییتر سابق)، LinkedIn و Bing نشان می‌دهد.

مشخص شد که برنامه‌ها طیف وسیعی از داده‌های دستگاه را با استفاده از سرویس‌هایی مانند Google Analytics، Firebase یا سیستم‌های اختصاصی خود به سرور‌های خود ارسال می‌کنند.

بلیپینگ کامپیوتر با مایکروسافت، ایکس، اپل، تیک تاک و لینکدین در مورد بازیابی اطلاعات کاربران توسط برنامه‌هایشان تماس گرفت، اما پاسخی از آنها دریافت نشد.

اپل با تشدید محدودیت‌ها در استفاده از API‌ها برای سیگنال‌های دستگاه، این معضل را برطرف خواهد نمود و از سواستفاده بیشتر از دسترسی پوش نوتیفیکیشن‌ها جلوگیری می‌کند.

این محقق به بلیپینگ کامپیوتر گفت که از بهار ٢٠٢٤، برنامه‌ها باید دقیقا دلیل نیاز به استفاده از API‌هایی را که می‌توانند برای فینگرپرینتینگ مورد سواستفاده قرار گیرند، اعلام کنند.

این API‌ها برای بازیابی اطلاعات مربوط به یک دستگاه، مانند فضای دیسک، زمان راه‌اندازی سیستم، برچسب‌های زمانی فایل، صفحه‌کلیدهای فعال و پیش‌فرض‌های کاربر استفاده می‌شوند.

اگر برنامه‌ها به‌درستی استفاده خود از این API‌ها و آنچه از آنها استفاده می‌شود را اعلام نکنند، اپل می‌گوید که حضور آنها در اپ استور را محدود می‌نماید.

تا زمانی که این اتفاق نیفتد، کاربران آیفون که می‌خواهند از این فینگرپرینتینگ‌ها اجتناب کنند، باید push notification‌ها را به طور کامل غیرفعال نمایند. متاسفانه، سایلنت نمودن اعلان‌ها از مورد سواستفاده قرار گرفتنشان جلوگیری نمی‌کند.

برای غیرفعال کردن اعلان‌ها، «Setting» را باز کرده، به قسمت «Notifications» بروید، برنامه‌ای را که می‌خواهید اعلان‌ها را مدیریت کنید انتخاب کنید و برای غیرفعال کردن «Allow Notifications» روی گزینه، ضربه بزنید.

در ماه دسامبر، فاش شد که دولت‌ها درخواست سوابق push notification ارسال شده از طریق سرور‌های اپل و گوگل که به‌عنوان راهی جهت جاسوسی از کاربران است را داشته‌اند.

اپل گفت که دولت ایالات متحده آنها را از به اشتراک گذاشتن هرگونه اطلاعات در مورد این درخواست‌ها منع کرده و از آن زمان گزارش شفافیت عملکرد خود را به روز کرده است.

برچسب ها: فیتنگرپرینتینگ, Google Analytics, Firebase, پوش نوتیفیکیشن‌, Push Notification‌, Cybernews, Bing, آیفون‌, Cyber Warfare, fingerprinting, API, TikTok, LinkedIn, Facebook, iOS, cybersecurity, Apple, اپل, iPhone , جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ