Nhiều ứng dụng iOS đang sử dụng các quy trình background được kích hoạt bằng thông báo đẩy để thu thập dữ liệu người dùng về thiết bị, có khả năng cho phép tạo hồ sơ dấu vân tay được sử dụng để theo dõi.
Theo nhà nghiên cứu di động Mysk, người đã phát hiện ra hành vi này, những ứng dụng này vượt qua các hạn chế hoạt động ứng dụng background của Apple và gây ra rủi ro về quyền riêng tư cho người dùng iPhone.
“Các ứng dụng không được lén lút xây dựng hồ sơ người dùng dựa trên dữ liệu đã thu thập và không được tạo điều kiện hoặc khuyến khích người khác xác định người dùng ẩn danh hoặc xây dựng lại hồ sơ người dùng dựa trên dữ liệu được thu thập từ API do Apple cung cấp hoặc bất kỳ dữ liệu nào mà bạn cho biết đã được lấy.” được thu thập theo cách ‘ẩn danh’, ‘tổng hợp’ hoặc cách khác không thể nhận dạng được”, một phần trong nguyên tắc đánh giá của Apple App Store viết.
Sau khi phân tích dữ liệu nào được gửi bởi các quy trình background của iOS khi nhận hoặc xóa thông báo, Mysk nhận thấy hành vi này phổ biến hơn nhiều so với suy nghĩ trước đây, liên quan đến nhiều ứng dụng có lượng người dùng đáng kể.
Thu thập dữ liệu
Apple thiết kế iOS không cho phép các ứng dụng chạy ở chế độ background nhằm tránh tiêu tốn tài nguyên và bảo mật tốt hơn. Khi không sử dụng một ứng dụng, chúng sẽ bị tạm ngưng và cuối cùng sẽ chấm dứt nên không thể giám sát hoặc can thiệp vào các hoạt động trên background trước.
Tuy nhiên, trong iOS 10, Apple đã giới thiệu một hệ thống mới cho phép các ứng dụng khởi chạy một cách lặng lẽ trong background để xử lý các thông báo đẩy mới trước khi thiết bị hiển thị chúng.
Hệ thống cho phép các ứng dụng nhận thông báo đẩy giải mã payload đến và tải xuống nội dung bổ sung từ máy chủ của chúng để làm phong phú nội dung đó trước khi được cung cấp cho người dùng. Khi quá trình này hoàn tất, ứng dụng sẽ bị chấm dứt một lần nữa.
Qua thử nghiệm, Mysk nhận thấy nhiều ứng dụng lạm dụng tính năng này, coi đây là cơ hội để truyền dữ liệu về thiết bị trở lại máy chủ của họ. Tùy thuộc vào ứng dụng, thông tin này bao gồm thời gian hoạt động của hệ thống, ngôn ngữ, ngôn ngữ bàn phím, bộ nhớ khả dụng, trạng thái pin, mức sử dụng bộ nhớ, kiểu thiết bị và độ sáng màn hình.
Trao đổi dữ liệu mạng của LinkedIn khi có Thông báo đẩy
Nguồn: Mysk
Mysk tin rằng dữ liệu này có thể được sử dụng để lấy dấu vân tay/lập hồ sơ người dùng, cho phép theo dõi liên tục, điều này bị nghiêm cấm trong iOS.
Mysk giải thích trong một bài đăng trên Twitter: “Các thử nghiệm của chúng tôi cho thấy cách làm này phổ biến hơn chúng tôi mong đợi. Tần suất nhiều ứng dụng gửi thông tin thiết bị sau khi được kích hoạt bởi thông báo là rất đáng kinh ngạc”.
Mysk đã tạo video sau hiển thị trao đổi lưu lượng mạng trong quá trình nhận thông báo đẩy của TikTok, Facebook, X (Twitter), LinkedIn và Bing.
Các ứng dụng này bị phát hiện đã gửi nhiều loại dữ liệu thiết bị đến máy chủ của họ bằng cách sử dụng các dịch vụ như Google Analytics, Firebase hoặc hệ thống độc quyền của riêng họ.
BleepingComputer đã liên hệ với Microsoft, X, Apple, TikTok và LinkedIn về việc ứng dụng của họ truy xuất dữ liệu người dùng nhưng chưa có phản hồi ngay lập tức.
Cách để giảm nhẹ vấn đề
Apple sẽ thu hẹp khoảng cách và ngăn chặn việc lạm dụng thêm tính năng đánh thức thông báo đẩy bằng cách thắt chặt các hạn chế sử dụng API cho tín hiệu thiết bị.
Mysk nói với BleepingComputer rằng bắt đầu từ mùa xuân năm 2024, các ứng dụng sẽ được yêu cầu khai báo chính xác lý do tại sao chúng cần sử dụng các API có thể bị lạm dụng để lấy dấu vân tay.
Các API này được sử dụng để truy xuất thông tin về thiết bị, chẳng hạn như dung lượng ổ đĩa, thời gian khởi động hệ thống, dấu thời gian của tệp, bàn phím hoạt động và mặc định của người dùng.
Nếu các ứng dụng không khai báo chính xác việc sử dụng các API này và mục đích sử dụng của chúng, Apple sẽ từ chối chúng khỏi App Store.
Cho đến khi điều đó xảy ra, người dùng iPhone muốn tránh dấu vân tay này nên tắt hoàn toàn thông báo đẩy. Thật không may, việc tắt thông báo sẽ không ngăn chặn được hành vi lạm dụng.
Để tắt thông báo, hãy mở
‘Cài đặt (Settings)’, đi tới
‘Thông báo (Notifications)’, chọn ứng dụng bạn muốn quản lý thông báo và nhấn vào nút bật tắt để tắt
‘Cho phép thông báo (Allow Notifications)’.
Vào tháng 12, có thông tin tiết lộ rằng các chính phủ đã yêu cầu gửi hồ sơ thông báo đẩy qua máy chủ của Apple và Google như một cách để theo dõi người dùng.
Apple cho biết chính phủ Hoa Kỳ đã cấm họ chia sẻ bất kỳ thông tin nào về những yêu cầu này và từ đó đã cập nhật báo cáo minh bạch của họ.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/ung-dung-iphone-lam-dung-thong-bao-ios-de-thu-thap-du-lieu-nguoi-dung
