移動(dòng)研究人員  Tommy Mysk 近日揭露，部分熱門應(yīng)用利用 iPhone 推送通知功能秘密發(fā)送用戶數(shù)據(jù)，這引發(fā)了用戶隱私安全擔(dān)憂。

許多 iOS 應(yīng)用程序正在使用由推送通知觸發(fā)的后臺(tái)進(jìn)程來收集設(shè)備的用戶數(shù)據(jù)，從而有可能創(chuàng)建用于跟蹤的指紋檔案。 Mysk 指出，這些應(yīng)用程序繞過了蘋果公司的后臺(tái)應(yīng)用程序活動(dòng)限制，對(duì) iPhone 用戶構(gòu)成了隱私風(fēng)險(xiǎn)。

蘋果應(yīng)用商店審查指南中有這樣一段話：應(yīng)用程序不應(yīng)試圖根據(jù)收集到的數(shù)據(jù)偷偷建立用戶檔案，也不得試圖、協(xié)助或鼓勵(lì)他人識(shí)別匿名用戶，或根據(jù)從蘋果提供的應(yīng)用程序接口收集到的數(shù)據(jù)重建用戶檔案。

喚醒并收集數(shù)據(jù)

為防止資源消耗和提高安全性，蘋果公司在最初設(shè)計(jì) iOS 時(shí)就允許應(yīng)用程序在后臺(tái)運(yùn)行。在用戶不使用應(yīng)用程序時(shí)，它們就會(huì)被暫停并最終終止，因此無法監(jiān)控或干擾前臺(tái)活動(dòng)。

不過，在 iOS 10 中，蘋果引入了一個(gè)新系統(tǒng)，允許應(yīng)用程序在后臺(tái)悄悄啟動(dòng)，以便在設(shè)備顯示新推送通知之前處理它們。

該系統(tǒng)允許接收推送通知的應(yīng)用程序解密傳入的有效載荷，并從其服務(wù)器下載更多內(nèi)容，以豐富推送通知的內(nèi)容，然后再提供給用戶。完成這一步后，應(yīng)用程序會(huì)再次終止。

通過測(cè)試，Mysk 發(fā)現(xiàn)許多應(yīng)用程序?yàn)E用了這一功能，將其作為向其服務(wù)器發(fā)送設(shè)備數(shù)據(jù)的“機(jī)會(huì)之窗”。根據(jù)應(yīng)用程序的不同，涉及的數(shù)據(jù)包括系統(tǒng)運(yùn)行時(shí)間、地域、鍵盤語言、可用內(nèi)存、電池狀態(tài)、存儲(chǔ)使用情況、設(shè)備型號(hào)和顯示亮度等等。

推送通知到達(dá)時(shí) LinkedIn 的網(wǎng)絡(luò)數(shù)據(jù)交換來源：Mysk

研究人員認(rèn)為，這些數(shù)據(jù)可用于指紋識(shí)別/用戶特征分析，從而實(shí)現(xiàn)持續(xù)跟蹤，而這在 iOS 系統(tǒng)中是被嚴(yán)格禁止的。

Mysk 在 Twitter 上表示：通過這次測(cè)試，可以看到這種做法比預(yù)想的更為普遍。許多應(yīng)用程序在被通知觸發(fā)后發(fā)送設(shè)備信息的頻率令人震驚。

Mysk 在一段視頻中演示了這一做法，他指出，蘋果在 iOS 10 中引入的一項(xiàng)推送通知自定義功能被部分開發(fā)者“別有用心”地利用了，該功能原本是為了讓應(yīng)用豐富通知內(nèi)容或解密加密信息，但一些開發(fā)商卻將其用于更隱蔽的數(shù)據(jù)傳輸。Mysk 發(fā)現(xiàn)，包括 TikTok、Facebook、Twitter、領(lǐng)英和必應(yīng)等在內(nèi)的多個(gè)熱門應(yīng)用，正在利用推送通知的短暫后臺(tái)執(zhí)行時(shí)間，發(fā)送用戶分析信息。

蘋果將通過加強(qiáng)對(duì)使用設(shè)備信號(hào) API 的限制來堵住漏洞，防止推送通知喚醒功能被進(jìn)一步濫用。從 2024 年春季開始，應(yīng)用程序?qū)⒈灰鬁?zhǔn)確聲明為什么需要使用可能被濫用于指紋識(shí)別的 API。

這些 API 可用于檢索設(shè)備信息，如磁盤空間、系統(tǒng)啟動(dòng)時(shí)間、文件時(shí)間戳、活動(dòng)鍵盤和用戶默認(rèn)設(shè)置。

蘋果表示，如果應(yīng)用程序沒有正確聲明其使用這些 API 的情況和用途，就不能在 App Store 上架。

在此之前，希望避免這種指紋識(shí)別的 iPhone 用戶應(yīng)禁用推送通知。但將通知設(shè)置為靜音并不能防止濫用，想要禁用通知，需打開 "設(shè)置"，前往 "通知"，選擇要管理通知的應(yīng)用程序，然后點(diǎn)擊切換按鈕禁用 "允許通知"。

2023年12 月，有消息稱美國(guó)政府要求通過蘋果和谷歌服務(wù)器發(fā)送推送通知記錄，以此來監(jiān)視用戶。但蘋果表示，美國(guó)政府禁止他們分享有關(guān)這些請(qǐng)求的任何信息，并在此后更新了他們的透明度報(bào)告。