Versões do iPhone de aplicativos como Facebook, LinkedIn, TikTok e X (ex-Twitter) estão contornando as regras de privacidade da Apple para coletar dados dos usuários através de notificações.
Essa é a constatação de pesquisadores da Mysk, uma empresa focada no desenvolvimento de aplicativos.
Esta técnica permite a coleta de dados mesmo quando os aplicativos estão fechados.
E a informação coletada parece estar associada à análise, publicidade e rastreamento de usuários, de acordo com um vídeo postado pela empresa no YouTube.
A prática, citada por Tommy Mysk e Talal Haj Bakry, é difundida no ecossistema iPhone e envolve a coleta de informações para o “fingerprinting”, uma técnica que identifica usuários com base nos detalhes do dispositivo.
Isso viola as proteções de privacidade da Apple, que proíbe empresas de rastrear pessoas e enviar anúncios segmentados.
Funciona assim: interagir com uma notificação do Facebook, por exemplo, resulta na coleta de endereços IP, tempo desde a última vez que o telefone foi reiniciado, espaço de memória livre e outros detalhes, conforme a Mysk.
Esses dados, embora não sejam tão sensíveis quanto os de localização, são valiosos para publicidade e outros fins.
A empresa aponta que as notificações fornecem uma brecha para a coleta de dados, mesmo quando o aplicativo está fechado.
De acordo com a Mysk, o iOS, sistema operacional do iPhone, permite que o aplicativo seja “despertado” temporariamente para enviar notificações - e é neste intervalo que ocorre a coleta de dados.
As empresas pretendem identificar usuários para direcionar anúncios e, sem identificação, os dados são menos úteis.
O iPhone tem um ID de publicidade específico, mas configurações como "Pedir ao App Para Não Rastrear" bloqueiam esse ID.
E o "fingerprinting" é uma maneira de continuar rastreando.
A Mysk observou que empresas poderiam enviar uma notificação para iniciar um aplicativo em segundo plano e coletar detalhes dos dispositivos dos usuários.
Algumas explicações para o problema incluem código antigo nos aplicativos que coleta dados desnecessários.
No entanto, os pesquisadores acham isso difícil de acreditar.
Um alteração nas regras do sistema operacional do iPhone, prevista para 2024, pode exigir que os desenvolvedores expliquem como e por que estão usando certas APIs.
No entanto, não se sabe exatamente como a Apple vai aplicar essas regras.
Apesar das empresas coletarem esses dados, Meta e LinkedIn negam usá-los para publicidade ou análises relacionadas, enquanto Apple, TikTok e X não se pronunciaram sobre o assunto.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...