As notificações push podem ser usadas para coletar dados no iOS? Entenda o estudo que revela possível brecha no sistema.
Ameaça

Notificações push: apps utilizam recurso para coletar dados no iOS indevidamente

As notificações push podem ser usadas para coletar dados no iOS? De acordo com um estudo recente do pesquisador Mysk, os aplicativos estariam utilizando uma brecha no sistema da Apple para coletar dados por meio deste recurso.

A informação, que também foi divulgada em diversos grandes portais de tecnologia, afirma que a prática consiste, basicamente, em um contorno de restrições de atividade de aplicativos em segundo plano da Apple.

O iOS foi projetado pela Apple com medidas rigorosas de segurança e eficiência para proteger a privacidade dos usuários. Uma das características do sistema é a suspensão e eventual encerramento de aplicativos em segundo plano quando não estão em uso, impedindo que monitorem ou interfiram nas atividades em primeiro plano. 

Entretanto, desde o iOS 10 a Apple possui uma exceção a essa regra, permitindo que aplicativos sejam iniciados silenciosamente em segundo plano para processar notificações push. E é essa função que estaria sendo usada, de acordo com pesquisador, para coletar dados.

Como o processo funciona?

De acordo com Mysk em vídeo publicado no YouTube, a opção de inicialização silenciosa do push funciona da seguinte forma: Quando um aplicativo recebe uma notificação push, o iOS ativa o app em segundo plano e permite um tempo limitado para personalizar a notificação antes que ela seja apresentada ao usuário. 

Esse tempo de personalização é útil para que os aplicativos possam executar tarefas relacionadas à notificação. “Descriptografar a carga útil da notificação ou baixar conteúdo adicional para enriquecer ainda mais o push antes que o iOS a apresente ao usuário. E assim que o aplicativo termina de personalizar a notificação, o iOS a encerra”, detalha Mysk.

Porém, conforme apresentado no vídeo, é durante esse período que os aplicativos encontram espaço para a coleta de dados.

“Os desenvolvedores podem aproveitar essa solução alternativa para executar código em segundo plano sob demanda. Tudo o que eles precisam fazer é enviar notificações push aos seus usuários. Como resultado, o iOS ativaria seu aplicativo em segundo plano em todos os dispositivos e, em seguida, o aplicativo executaria qualquer código que o desenvolvedor tivesse incorporado ao aplicativo”, afirmou o pesquisador.

Desta forma, muitos apps estão coletando dados como tempo de atividade do sistema, localidade, idioma do teclado, memória disponível, status da bateria, modelo do dispositivo, brilho da tela, entre outros. Com esses dados, eles começam a criar o que se chama de impressão digital (ou pegada virtual), construindo um perfil dos usuários e rastreando suas atividades indevidamente.

“A impressão digital é estritamente proibida no iOS e iPadOS. Nossos testes mostram que essa prática é mais comum do que esperávamos. A frequência com que muitos aplicativos enviam informações do dispositivo após serem acionados por uma notificação é alucinante. Alguns aplicativos, como Facebook e TikTok, também enviam dados ao limpar suas notificações na Central de Notificações”, afirma Mysk.

Ainda de acordo com Mysk, a maioria dos aplicativos utiliza o Google Analytics e o Firebase para o rastreamento de informações. Algumas empresas, como Facebook e TikTok, utilizam seus próprios programas de rastreamento ou uma combinação deles com o Firebase.

Mudanças na Apple podem minimizar os rastreamentos

Segundo o relatório de Mysk, a Apple já estaria trabalhando em novas regras para as notificações push. 

“Felizmente, a partir da primavera de 2024 (inverno no Brasil), a Apple exigirá que os desenvolvedores declarem os motivos para usar APIs que retornam sinais exclusivos de dispositivos, como aqueles comumente usados ​​para impressão digital”, explica o especialista. 

Em um comunicado divulgado pela própria Apple, a iniciativa ajudará a garantir que os aplicativos usem essas APIs apenas para a finalidade pretendida. “Como parte desse processo, os desenvolvedores terão que selecionar um ou mais motivos aprovados que reflitam com precisão como o aplicativo usa a API, e o aplicativo só poderá usar a API pelos motivos que você selecionou”.

Por fim, se você não quiser que seus dados sejam coletados sem permissão, Mysk afirma que a única forma de fazer isso é desabilitando as notificações.

As notificações push e a espionagem governamental

Essa descoberta de Mysk parece se conectar também com uma outra notícia recente sobre rastreamento de informações via notificações de push. De acordo com uma matéria divulgada na Mashable, em 2023 o senador dos Estados Unidos Ron Wyden enviou uma carta ao Departamento de Justiça do país sobre uma denúncia de que governos estrangeiros estavam solicitando dados de notificações push de empresas como Apple e Google.

Segundo a reportagem, os dados enviados aos telefones dos usuários por meio de notificações push normalmente passam pela Apple ou pelo Google, o que significa que essas empresas têm acesso a quaisquer dados enviados por meio dessas notificações. 

Dessa forma, se algum governo solicita a entrega de dados para uma dessas organizações, os dados referentes às notificações push também podem ser concedidos, o que pode conter dados confidenciais dos usuários.

Após a história ser noticiada nos veículos especializados, a Apple mudou suas diretrizes sobre fornecimento de informações de notificações push. Ainda de acordo com a Mashable,  a atualização nas diretrizes adicionou uma nova regra que cita ser necessária uma “ordem do juiz”, ou mandado de busca, para que a Apple forneça dados de notificação push de um usuário.

Everson Nunes

Continue lendo o nosso blog!

Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *