iPhone 应用程序滥用 iOS 推送通知以收集用户数据信息

Andrew2024-02-02 11:35:56

许多 iOS 应用程序正在利用推送通知触发的后台进程,来收集有关用户数据,从而允许创建用于跟踪的指纹配置文件。


发现这种做法的移动研究人员 Mysk 表示,这些应用程序绕过了苹果的后台应用程序活动限制,并对 iPhone 用户构成隐私风险。


“应用程序不应根据收集的数据秘密构建用户配置文件,并且不得尝试、促进或鼓励其他人识别匿名用户或根据从 Apple 提供的 API 收集数据。” 苹果应用商店审查指南的一部分写道。


在分析了 iOS 后台进程在接收或清除哪些数据后,研究人员发现许多有一定用户群的应用程序涉及其中。


唤醒并收集数据


Apple 设计 iOS 时不允许应用程序在后台运行,以防止资源消耗并提高安全性。当不使用应用程序时,它们会被暂停并最终终止,因此它们无法监视或干扰前台活动。


不过,在 iOS 10 中,苹果推出了一个新系统,允许应用程序在后台悄悄启动,以便设备显示新的推送通知之前对其进行处理。


该系统允许接收推送通知的应用程序解密传入有效负载,并从其服务器下载附加内容在将其提供给用户之前对其进行丰富。此过程完成后,应用程序将再次终止。


通过测试,研究人员发现许多应用程序滥用此功能。根据应用程序的不同,包括系统正常运行时间、区域设置、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示屏亮度。



LinkedIn 在推送通知到达期间的网络数据交换


研究人员认为,这些数据可用于指纹识别/用户分析,从而实现持久跟踪,而这在 iOS 中是严格禁止的。


“测试表明,这种做法比我们预期的更常见。许多应用程序在被通知触发后发送设备信息的频率令人震惊,”Mysk解释道。


Mysk 创建了一个视频,显示了Facebook、LinkedIn 等接收推送通知期间的网络流量交换。这些应用程序被发现使用 Google Analytics、Firebase 或他们自己的专有系统等服务,将各种设备数据发送到他们的服务器。


有人就其应用程序检索用户数据的问题联系了 Microsoft、Apple和 LinkedIn,但未立即得到回复。


缓解措施


苹果将通过加强对设备信号 API 的使用限制来填补这一空白,并防止进一步滥用推送通知唤醒。


从 2024 年春季开始,应用程序将被要求准确声明为什么它们需要使用可被滥用于指纹识别的 API。这些 API 用于检索有关设备的信息,例如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认值。


如果应用程序没有正确声明它们对这些 API 的使用用途,Apple App Store 将会拒绝它们使用。


在此之前,想要取消这种指纹识别的 iPhone 用户应该完全禁用推送通知,但禁用推送通知并不能完全防止滥用。


参考及来源:https://www.bleepingcomputer.com/news/security/iphone-apps-abuse-ios-push-notifications-to-collect-user-data/


iphoneios通知
本作品采用《CC 协议》,转载必须注明作者和本文链接
许多 iOS 应用程序正在利用推送通知触发的后台进程,来收集有关用户数据,从而允许创建用于跟踪的指纹配置文件。
卡巴斯基发言人周四告诉CyberScoop,该公司已获悉俄罗斯政府的声明。然而,俄罗斯计算机应急响应小组的官方通知在周四发布的警报中引用了卡巴斯基的报告。后续分析情况表明,俄官方的声明和卡巴斯基的分析,应该是相关的。总检察长办公室收到一项要求,要求对Apple员工提起刑事诉讼,指控他们为美国情报部门从事间谍活动。,苹果和美国情报部门应该根据三条条款追究责任:非法获取计算机信息、病毒传播和间谍活动。
维吾尔族穆斯林是间谍活动的共同目标。苹果将优先解决的问题列为优先事项,并于2019年1月发布了更新程序以修复该漏洞。鉴于中国法律要求公民和组织在被问及情报机构合作时,奇讯可能不会亲自介入。例如,他指出Mandiant威胁情报部门观察到与中国黑客杯事件有关的基础设施,该事件表明与所谓的威胁者团队的潜在联系。
移动研究人员 Tommy Mysk 近日揭露,部分热门应用利用 iPhone 推送通知功能秘密发送用户数据,这引发了用户隐私安全担忧。
Google Project Zero的安全研究人员Gal Beniamini在Apple的iPhone和其他使用Broadcom Wi-Fi芯片的设备上发现了一个安全漏洞(CVE-2017-11120),并且易于利用。
该漏洞已于周三发布,作为Apple发布其iOS 14和iPadOS 14安全更改日志的一部分。研究人员Dany Lisiansky和Nikias Bassen因发现该漏洞而受到赞誉。苹果在其安全公告中还感谢Google Project Zero的Brandon Azad的协助。一份X-Force漏洞报告将该漏洞评为高度严重,并揭示了与CVE-2020-9992相关的更多细节。那里的研究人员认为,该漏洞与苹果名为Xcode的开发工具集有关。通过改进状态管理解决了该问题。
9月24日,iPhone13系列新机正式发售。然而,有些用户刚拿到新机就已经收到软件更新通知。 苹果方面24日提醒用户,部分iPhone13存在备份恢复bug。另有用户反馈iPhone 13存在微距模式开关bug。
近日,微软和公民实验室发现以色列公司QuaDream制造的商业间谍软件使用了名为“末日”的零点击漏洞来入侵高价值目标的个人iPhone手机。研究人员发现攻击者在2021年1月至11月期间通过“不可见的iCloud日历邀请”利用该漏洞。此活动中部署的监视恶意软件还具备自毁功能,可自行删除并清除受害者iPhone中的任何痕迹以逃避检测。
苹果iOS系统曝出的VPN数据泄露漏洞,意味着这个管道已经“跑冒滴漏”多年。
Andrew
暂无描述