Notificações no iOS podem ser usadas para recolher dados dos utilizadores
Foi recentemente descoberta uma nova lista de aplicações para o sistema da Apple, que usam o sistema de notificações do sistema operativo da empresa para recolher dados dos utilizadores, sem que estes tenham conhecimento desta tarefa.
O investigador Mysk revelou ter descoberto uma longa lista de apps no iOS, que usam o sistema de envio de notificações para recolher dados dos utilizadores, enviando os mesmos para sistemas remotos e com a capacidade de criar um perfil dos mesmos para os mais variados fins.
De acordo com o investigador de segurança, estas apps contornam as limitações da Apple no sistema, para correrem em segundo plano, recolhendo a informação. As mesmas podem seriamente comprometer a privacidade dos utilizadores e dos seus dispositivos.
As regras da App Store claramente indicam que as apps no sistema não podem ser usadas para, ativamente, recolherem dados dos utilizadores sem a permissão dos mesmos. O uso de falhas nas APIs da empresa ou no próprio sistema operativo para este fim constitui uma violação dos termos, e consequentemente, pode levar à remoção de apps da loja de aplicações e bloqueio da conta de programador da empresa.
O iOS encontra-se desenvolvido para não manter processos de apps em segundo plano, com o objetivo de evitar que as mesmas fiquem ativas a usar recursos, e eventualmente, possam realizar tarefas sem o conhecimento dos utilizadores.
No entanto, desde o iOS 10 que o sistema conta com uma pequena funcionalidade, que permite às apps iniciarem temporariamente para receberem pedidos de notificação. Será isto que permite a certas apps enviarem regularmente notificações, mesmo quando não estão a ser ativamente usadas.
No entanto, Mysk revelou ter descoberto que existem apps a usar esta funcionalidade para, no curto tempo que o sistema permite que a app corra em segundo plano, possam ser enviados dados para sistemas remotos, contendo informação dos utilizadores e das suas atividades no dispositivo.
As apps podem usar os próprios serviços de notificações para enviarem estes dados, como é o caso do Firebase da Google e até mesmo sistemas dedicados das mesmas. Normalmente, esta funcionalidade apenas deveria ser usada para a receção de notificações no sistema, mas as apps aproveitam o espaço de tempo para enviarem também informação do sistema para servidores remotos.
A Apple já terá sido notificada desta situação, sendo que se encontra a preparar uma atualização das suas APIs, de forma a restringir ainda mais as funcionalidades que podem ser usadas em segundo plano, e os dados que as apps podem enviar no processo. Espera-se que estas medidas venham a ser implementadas para todas as apps na App Store ainda este ano.
Para quem pretenda evitar que as notificações sejam usadas para o envio de dados, é possível desativar as notificações do sistema por completo, mas isso também possui impacto a nível da utilização das apps e de muitas das suas funcionalidades.