Çok sayıda iOS uygulaması, cihazlarla ilgili kullanıcı verilerini toplamak için anlık bildirimlerle tetiklenen arka plan işlemlerini kullanıyor ve bu, potansiyel olarak izleme için kullanılan parmak izi profillerinin oluşturulmasına olanak tanıyor.
Bu uygulamayı keşfeden mobil araştırmacısı Mysk’e göre bu uygulamalar, Apple’ın arka plan uygulama etkinliği kısıtlamalarını atlıyor ve iPhone kullanıcıları için gizlilik riski oluşturuyor.
“Uygulamalar, toplanan verilere dayanarak gizlice bir kullanıcı profili oluşturmaya çalışmamalıdır ve başkalarını anonim kullanıcıları tanımlamaya veya Apple tarafından sağlanan API’lerden toplanan verilere veya sizin tarafından kullanıldığını söylediğiniz herhangi bir verilere dayanarak kullanıcı profillerini yeniden oluşturmaya teşebbüs edemez, kolaylaştıramaz veya teşvik edemez. Apple App Store inceleme yönergelerinin bir bölümünde “anonimleştirilmiş”, “toplu” veya başka bir şekilde tanımlanamayan bir şekilde toplanmıştır” ifadesi yer alıyor.
Mysk, bildirimleri alırken veya temizlerken iOS arka plan işlemleri tarafından hangi verilerin gönderildiğini analiz ettikten sonra, uygulamanın önceden düşünülenden çok daha yaygın olduğunu ve önemli bir kullanıcı tabanına sahip birçok uygulamayı kapsadığını buldu.
Uyanın ve veri toplayın
Apple, kaynak tüketimini önlemek ve daha iyi güvenlik sağlamak amacıyla iOS’u uygulamaların arka planda çalışmasına izin vermeyecek şekilde tasarladı. Bir uygulamayı kullanmadıklarında askıya alınırlar ve sonunda sonlandırılırlar, böylece ön plandaki etkinlikleri izleyemez veya bunlara müdahale edemezler.
Ancak iOS 10’da Apple, uygulamaların yeni anlık bildirimleri cihazda görüntülemeden önce işlemek için arka planda sessizce başlatılmasına olanak tanıyan yeni bir sistemi tanıttı.
Sistem, anlık bildirimler alan uygulamaların, gelen yükün şifresini çözmesine ve kullanıcıya sunulmadan önce zenginleştirmek için sunucularından ek içerik indirmesine olanak tanır. Bu işlem tamamlandıktan sonra uygulama tekrar sonlandırılır.
Test yoluyla, Musk bulundu Pek çok uygulama bu özelliği kötüye kullanıyor ve bunu bir cihaz hakkındaki verileri sunucularına geri iletmek için bir fırsat penceresi olarak değerlendiriyor. Uygulamaya bağlı olarak bu, sistemin çalışma süresini, yerel ayarı, klavye dilini, kullanılabilir belleği, pil durumunu, depolama kullanımını, cihaz modelini ve ekran parlaklığını içerir.
Kaynak: Misk
Araştırmacı, bu verilerin, iOS’ta kesinlikle yasak olan kalıcı izlemeye izin vererek parmak izi alma/kullanıcı profili oluşturma için kullanılabileceğine inanıyor.
Mysk, Twitter’daki bir gönderisinde şöyle açıklıyor: “Testlerimiz bu uygulamanın beklediğimizden daha yaygın olduğunu gösteriyor. Birçok uygulamanın bir bildirimle tetiklendikten sonra cihaz bilgilerini gönderme sıklığı akıllara durgunluk verici.”
Mysk, TikTok, Facebook, X (Twitter), LinkedIn ve Bing tarafından anlık bildirimlerin alınması sırasında ağ trafiği alışverişini gösteren aşağıdaki videoyu oluşturdu.
Uygulamaların, Google Analytics, Firebase gibi hizmetleri veya kendi tescilli sistemlerini kullanarak çok çeşitli cihaz verilerini sunucularına gönderdiği tespit edildi.
Sorunu hafifletmek
Apple, cihaz sinyalleri için API kullanımına ilişkin kısıtlamaları sıkılaştırarak açığı kapatacak ve anında bildirim uyandırmalarının daha fazla kötüye kullanılmasını önleyecek.
Mysk, BleepingComputer’a 2024 Baharından itibaren uygulamaların, parmak izi almak için kötüye kullanılabilecek API’leri neden kullanmaları gerektiğini tam olarak açıklamaları gerekeceğini söyledi.
Bu API’ler, bir cihaz hakkında disk alanı, sistem önyükleme süresi, dosya zaman damgaları, etkin klavyeler ve kullanıcı varsayılanları gibi bilgileri almak için kullanılır.
Uygulamaların bu API’leri nasıl kullandıklarını ve ne için kullanıldığını doğru şekilde beyan etmemesi durumunda Apple, bunların App Store’dan reddedileceğini söylüyor.
Bu gerçekleşene kadar, bu parmak izinden kaçınmak isteyen iPhone kullanıcılarının anlık bildirimleri tamamen devre dışı bırakması gerekiyor. Maalesef bildirimleri sessize almak kötüye kullanımı engellemeyecektir.
Bildirimleri devre dışı bırakmak için ‘ öğesini açınAyarlar‘Başa git’Bildirimler,’ bildirimlerini yönetmek istediğiniz uygulamayı seçin ve devre dışı bırakmak için açma/kapatma düğmesine dokunun ‘Bildirimlere İzin Ver.’
Aralık ayında hükümetlerin, kullanıcıları gözetlemenin bir yolu olarak Apple ve Google sunucuları üzerinden gönderilen anlık bildirim kayıtlarını talep ettiği ortaya çıktı.
Apple, ABD hükümetinin bu taleplerle ilgili herhangi bir bilgiyi paylaşmalarını yasakladığını ve o zamandan beri şeffaflık raporunu güncellediğini söyledi.