Çok sayıda iOS uygulaması, cihazlar hakkında kullanıcı verilerini toplamak için push bildirimleri tarafından tetiklenen arka plan işlemlerini kullanıyor ve potansiyel olarak izleme için kullanılan parmak izi profillerinin oluşturulmasına izin veriyor.
Bu uygulamayı keşfeden mobil araştırmacı Mysk'e göre, bu uygulamalar Apple'ın arka plan uygulama etkinliği kısıtlamalarını atlıyor ve iPhone kullanıcıları için bir gizlilik riski oluşturuyor.
"Uygulamalar, toplanan verilere dayalı olarak bir kullanıcı profili oluşturmaya çalışmamalı ve diğerlerini anonim kullanıcıları tanımlamaya veya Apple tarafından sağlanan API'lerden toplanan verilere göre kullanıcı profillerini yeniden inşa etmeye veya kullanıcı profillerini yeniden inşa etmeye çalışmayabilir veya teşvik edememelidir. 'Anonimleştirilmiş,' toplu 'veya başka bir şekilde tanımlanamayan bir şekilde toplanan "Apple App Store inceleme yönergelerinin bir bölümünü okur.
Bildirimleri alırken veya temizlerken iOS arka plan işlemleri tarafından hangi verilerin gönderildiğini analiz ettikten sonra, MySK, uygulamanın daha önce düşünüldüğünden çok daha yaygın olduğunu ve önemli bir kullanıcı tabanına sahip birçok uygulamayı içerdiğini buldu.
Apple, iOS'u kaynak tüketimini önlemek ve daha iyi güvenlik için uygulamaların arka planda çalışmasına izin vermemek için tasarladı. Bir uygulama kullanmadıklarında askıya alınır ve sonunda sonlandırılırlar, böylece ön plan etkinliklerini izleyemez veya müdahale edemezler.
Bununla birlikte, Apple, cihazların görüntülemeden önce yeni push bildirimlerini işlemek için uygulamaların arka planda sessizce başlatılmasına izin veren yeni bir sistem tanıttı.
Sistem, gelen yükün şifresini çözmek ve kullanıcıya hizmet vermeden önce zenginleştirmek için sunucularından ek içerik indirmek için push bildirimleri alan uygulamaların izin verir. Bu işlem yapıldıktan sonra, uygulama tekrar sonlandırılır.
Test yoluyla MySK, birçok uygulamanın bu özelliği kötüye kullandığını ve bir cihazla ilgili verileri sunucularına geri iletmek için bir fırsat penceresi olarak ele aldığını buldu. Uygulamaya bağlı olarak, sistem çalışma süresi, yerel ayar, klavye dili, mevcut bellek, pil durumu, depolama kullanımı, cihaz modeli ve ekran parlaklığı dahildir.
Araştırmacı, bu verilerin parmak izi/kullanıcı profili oluşturma için kullanılabileceğine ve iOS'ta kesinlikle yasak olan kalıcı izlemeye izin verebileceğine inanmaktadır.
Mysk, Twitter'daki bir yayında, "Testlerimiz, bu uygulamanın beklediğimizden daha yaygın olduğunu gösteriyor. Birçok uygulamanın bir bildirim tarafından tetiklendikten sonra cihaz bilgilerini gönderme sıklığı akıllara durgunluk veriyor."
MySK, Tiktok, Facebook, X (Twitter), LinkedIn ve Bing'in Push bildirimlerinin alınması sırasında ağ trafik değişimini gösteren aşağıdaki videoyu oluşturdu.
Uygulamaların, Google Analytics, Firebase veya kendi özel sistemleri gibi hizmetleri kullanarak sunucularına çok çeşitli cihaz verileri gönderdiği bulundu.
BleepingComputer, kullanıcı verilerini alarak uygulamaları hakkında Microsoft, X, Apple, Tiktok ve LinkedIn ile iletişime geçti, ancak bir yanıt hemen mevcut değildi.
Apple, boşluğu takacak ve cihaz sinyalleri için API'lerin kullanılmasında kısıtlamaları sıkarak itme bildirim uyanışlarının daha fazla kötüye kullanılmasını önleyecektir.
Mysk, BleepingComputer'a 2024 ilkbaharında başlayarak uygulamaların neden parmak izi için istismar edilebilecek API'leri kullanmaları gerektiğini tam olarak beyan etmeleri gerektiğini söyledi.
Bu API'lar, disk alanı, sistem önyükleme süresi, dosya zaman damgası, aktif klavyeler ve kullanıcı varsayılanları gibi bir cihaz hakkında bilgi almak için kullanılır.
Uygulamalar bu API'leri kullandıklarını ve ne için kullanıldıklarını doğru bir şekilde beyan etmezse, Apple App Store'dan reddedileceklerini söylüyor.
Bu gerçekleşene kadar, bu parmak izinden kaçınmak isteyen iPhone kullanıcıları, push bildirimlerini tamamen devre dışı bırakmalıdır. Ne yazık ki, bildirimleri sessizleştirmek kötüye kullanımı engellemeyecektir.
Bildirimleri devre dışı bırakmak için 'Ayarları Aç,' Bildirimlere gidin, bildirimleri yönetmek istediğiniz uygulamayı seçin ve 'bildirimlere izin ver' devre dışı bırakmak için geçişe dokunun.
Aralık ayında, hükümetlerin Apple's ve Google'ın sunucuları aracılığıyla kullanıcılara casusluk yapmanın bir yolu olarak gönderilen itme kayıtları talep ettikleri ortaya çıktı.
Apple, ABD hükümetinin bu talepler hakkında herhangi bir bilgi paylaşmalarını yasakladığını ve o zamandan beri şeffaflık raporlarını güncellediğini söyledi.
Apple, bu yıl saldırılarda kullanılan ilk sıfır gün hatasını düzeltiyor
ISHutDown komut dosyaları iPhone'unuzda iOS Spyware'i algılamaya yardımcı olabilir
iPhone Üçgenleme Saldırısı Kötü Belgesiz Donanım Özelliği
Apple, acil durum güncellemelerinde iki yeni iOS sıfır gününü düzeltir
Web sitelerini kırarken 'katı' parmak izi korumasını sonlandırmak için cesur
Kaynak: Bleeping Computer