Notificações no iOS podem ser usadas para recolher dados dos utilizadores

Publicado em por

Notificações no iOS podem ser usadas para recolher dados dos utilizadores

Foi recentemente descoberta uma nova lista de aplicações para o sistema da Apple, que usam o sistema de notificações do sistema operativo da empresa para recolher dados dos utilizadores, sem que estes tenham conhecimento desta tarefa.

O investigador Mysk revelou ter descoberto uma longa lista de apps no iOS, que usam o sistema de envio de notificações para recolher dados dos utilizadores, enviando os mesmos para sistemas remotos e com a capacidade de criar um perfil dos mesmos para os mais variados fins.

De acordo com o investigador de segurança, estas apps contornam as limitações da Apple no sistema, para correrem em segundo plano, recolhendo a informação. As mesmas podem seriamente comprometer a privacidade dos utilizadores e dos seus dispositivos.

As regras da App Store claramente indicam que as apps no sistema não podem ser usadas para, ativamente, recolherem dados dos utilizadores sem a permissão dos mesmos. O uso de falhas nas APIs da empresa ou no próprio sistema operativo para este fim constitui uma violação dos termos, e consequentemente, pode levar à remoção de apps da loja de aplicações e bloqueio da conta de programador da empresa.

O iOS encontra-se desenvolvido para não manter processos de apps em segundo plano, com o objetivo de evitar que as mesmas fiquem ativas a usar recursos, e eventualmente, possam realizar tarefas sem o conhecimento dos utilizadores.

No entanto, desde o iOS 10 que o sistema conta com uma pequena funcionalidade, que permite às apps iniciarem temporariamente para receberem pedidos de notificação. Será isto que permite a certas apps enviarem regularmente notificações, mesmo quando não estão a ser ativamente usadas.

No entanto, Mysk revelou ter descoberto que existem apps a usar esta funcionalidade para, no curto tempo que o sistema permite que a app corra em segundo plano, possam ser enviados dados para sistemas remotos, contendo informação dos utilizadores e das suas atividades no dispositivo.

As apps podem usar os próprios serviços de notificações para enviarem estes dados, como é o caso do Firebase da Google e até mesmo sistemas dedicados das mesmas. Normalmente, esta funcionalidade apenas deveria ser usada para a receção de notificações no sistema, mas as apps aproveitam o espaço de tempo para enviarem também informação do sistema para servidores remotos.

A Apple já terá sido notificada desta situação, sendo que se encontra a preparar uma atualização das suas APIs, de forma a restringir ainda mais as funcionalidades que podem ser usadas em segundo plano, e os dados que as apps podem enviar no processo. Espera-se que estas medidas venham a ser implementadas para todas as apps na App Store ainda este ano.

Para quem pretenda evitar que as notificações sejam usadas para o envio de dados, é possível desativar as notificações do sistema por completo, mas isso também possui impacto a nível da utilização das apps e de muitas das suas funcionalidades.