نقص امنیتی بزرگ آیفون اطلاعات محرمانه را فاش میکند
تحقیقات نشان میدهند که میتوان از پوش نوتیفیکیشن آیفون، برای استخراج اطلاعات کاربر استفاده کرد.
تامی میسک، محقق امنیتی، نشان داده است که پوش نوتیفیکیشن گوشی آیفون توسط برنامههای محبوب برای استخراج مخفیانهی اطلاعات مربوط به کاربر استفاده میشود.
میسک در یک ویدیوی جدید در یوتیوب نشان داد که چگونه برخی از برنامههای iOS از یک ویژگی معرفیشده در iOS 10 استفاده میکنند که به برنامهها اجازه میدهد پوش نوتیفیکیشن را سفارشی کنند.
ویژگی موردبحث که در ابتدا به منظور اجازهدادن به برنامهها برای استفاده از اعلانها یا رمزگشایی پیامهای رمزنگاریشده در نظر گرفته شده بود، توسط برخی از توسعهدهندگان برای فعالیتهای مخفیانهتر تغییر کاربری داده شده است.
بر اساس یافتههای میسک، برنامههای محبوب مختلفی از جمله تیکتاک، فیسبوک، ایکس (توییتر سابق)، لینکدین و بینگ از زمان کوتاهی که برای اجرا در پسزمینه و سفارشیسازی اعلانها دارند، برای ارسال دادههای تحلیلی استفاده میکنند.
وضعیت فعلی نگرانکننده است؛ زیرا محدودیتهای اعمالشده توسط iOS در فعالیت برنامههای پسزمینه را دور میزند. اپل برای محافظت از حریم خصوصی کاربران و اطمینان از عملکرد بهینهی دستگاه، همیشه کنترل دقیقی بر برنامههای در حال اجرا در پسزمینه داشته است.
ظاهرا ویژگی پوش نوتیفیکیشن به طور ناخواسته راهی برای برنامهها بهمنظور انتقال دادهها در پسزمینه ایجاد کرده است. نوع دادههای ارسالی شامل سیگنالهای خاص مربوطبه دستگاه است که می تواند برای «انگشتنگاری» و ردیابی کاربران در برنامههای مختلف استفاده شود.
انگشتنگاری روشی برای ایجاد شناسهی مخصوص کاربر ازطریق جمعآوری اطلاعات سختافزاری و نرمافزاری دستگاه است. میتوان از این شناسه برای ردیابی فعالیتهای کاربر در برنامههای مختلف و نمایش تبلیغات هدفمند استفاده کرد.
اپل اجازهی انگشتنگاری را نمیدهد و به زودی از توسعهدهندگان میخواهد که به صراحت دلیل نیاز برنامههایشان به API-هایی را که اغلب برای انگشتنگاری استفاده میشوند، اعلام کنند. این حرکت در راستای تلاشهای اپل برای تقویت حریم خصوصی کاربران است.