Ερευνητές ασφαλείας της εταιρείας ανάπτυξης εφαρμογών «Mysk Inc.» πραγματοποίησαν δοκιμές σε εφαρμογές του iPhone, όπως το Facebook, το LinkedIn, το TikTok και το X, και διαπίστωσαν ότι παρακάμπτουν τους κανόνες απορρήτου της Apple για να συλλέγουν δεδομένα χρηστών μέσω ειδοποιήσεων.
Οι χρήστες μερικές φορές κλείνουν τις εφαρμογές για να τις εμποδίσουν να συλλέγουν δεδομένα ενώ «τρέχουν» στο παρασκήνιο, αλλά αυτή η τεχνική παρακάμπτει αυτή την προστασία. Τα δεδομένα είναι περιττά για την επεξεργασία των ειδοποιήσεων, δήλωσαν οι ερευνητές, και φαίνεται να σχετίζονται με την ανάλυση, τη διαφήμιση και την παρακολούθηση των χρηστών σε διαφορετικές εφαρμογές και συσκευές. Ορισμένες από τις εμπλεκόμενες εταιρείες δήλωσαν ότι τα ευρήματα αυτά είναι ανακριβή.
«Ήταν αυτονόητο ότι οι εφαρμογές θα έβρισκαν ευκαιρίες για να εισάγουν κρυφά περισσότερη συλλογή δεδομένων, αλλά εκπλαγήκαμε όταν μάθαμε ότι αυτή η πρακτική χρησιμοποιείται ευρέως», δήλωσε ο Tommy Mysk, ο οποίος διεξήγαγε τις δοκιμές μαζί με τον Talal Haj Bakry. «Ποιος θα μπορούσε να γνωρίζει ότι μια τόσο απλή και αθώα ενέργεια όπως η απόρριψη μιας ειδοποίησης θα προκαλούσε την αποστολή πολλών μοναδικών πληροφοριών της συσκευής σε απομακρυσμένους διακομιστές; Είναι ανησυχητικό όταν σκέφτεστε το γεγονός ότι οι προγραμματιστές μπορούν να το κάνουν αυτό κατά παραγγελία».
Ευρέως διαδεδομένο πρόβλημα στα iPhone
Αυτές οι συγκεκριμένες εφαρμογές δεν είναι ασυνήθιστα κακοί παράγοντες. Σύμφωνα με τους ερευνητές, πρόκειται για ένα ευρέως διαδεδομένο πρόβλημα που μαστίζει το οικοσύστημα του iPhone. Ωστόσο, οι εκπρόσωποι της Meta και του LinkedIn αρνήθηκαν κατηγορηματικά ότι τα δεδομένα χρησιμοποιούνται για διαφημίσεις ή άλλους ακατάλληλους σκοπούς. Εκπρόσωπος του LinkedIn δήλωσε ότι τα δεδομένα χρησιμοποιούνται μόνο για να διασφαλιστεί η σωστή λειτουργία των ειδοποιήσεων και ότι η εταιρεία ακολουθεί όλες τις οδηγίες της Apple για τους προγραμματιστές.
Αυτή δεν είναι η πρώτη φορά που οι δοκιμές της Mysk αποκαλύπτουν προβλήματα δεδομένων στην Apple, η οποία έχει ξοδέψει αμέτρητα εκατομμύρια για να πείσει τον κόσμο ότι «ό,τι συμβαίνει στο iPhone σας, μένει στο iPhone σας».
Τον Οκτώβριο του 2023, ο Mysk διαπίστωσε ότι ένα χαρακτηριστικό του iPhone που προορίζεται να προστατεύει τις λεπτομέρειες σχετικά με τη διεύθυνση Wi-Fi σας δεν είναι τόσο ιδιωτικό όσο υπόσχεται η εταιρεία. Το 2022, η Apple ήταν αντιμέτωπη με περισσότερες από δώδεκα ομαδικές αγωγές μετά την διαπίστωση του Mysk ότι η Apple συλλέγει δεδομένα για τους χρήστες της, ακόμη και όταν αυτοί γυρίζουν το διακόπτη σε μια ρύθμιση απορρήτου του iPhone που υπόσχεται να «απενεργοποιεί εντελώς την κοινή χρήση των αναλυτικών στοιχείων της συσκευής».
Τι είναι το fingerprinting
Τα δεδομένα μοιάζουν με πληροφορίες που χρησιμοποιούνται για το “fingerprinting”, μια τεχνική που χρησιμοποιούν οι εταιρείες για να σας ταυτοποιήσουν με βάση διάφορες φαινομενικά αθώες λεπτομέρειες σχετικά με τη συσκευή σας. Το fingerprinting παρακάμπτει τις προστασίες απορρήτου για να παρακολουθεί ανθρώπους και να τους στέλνει στοχευμένες διαφημίσεις -και η Apple απαγορεύει ρητά στις εταιρείες να το κάνουν αυτό.
Τα iPhone και άλλα προϊόντα της Apple διαθέτουν πολλές ρυθμίσεις και κανόνες που υποτίθεται ότι σας δίνουν τον έλεγχο σχετικά με το πότε οι εταιρείες μπορούν να σας ταυτοποιήσουν και να συλλέξουν δεδομένα.
Τι εντόπισαν οι ερευνητές της Mysk
Για παράδειγμα, οι δοκιμές της Mysk έδειξαν ότι όταν αλληλεπιδράτε με μια ειδοποίηση από το Facebook, η εφαρμογή συλλέγει διευθύνσεις IP, τον αριθμό των χιλιοστών του δευτερολέπτου από την επανεκκίνηση του τηλεφώνου σας, το μέγεθος του ελεύθερου χώρου μνήμης στο τηλέφωνό σας και πλήθος άλλων λεπτομερειών.
Ο συνδυασμός δεδομένων όπως αυτά είναι αρκετός για να αναγνωρίσει ένα άτομο με μεγάλη ακρίβεια. Οι άλλες εφαρμογές της δοκιμής συνέλεξαν παρόμοιες πληροφορίες. Το LinkedIn, για παράδειγμα, χρησιμοποιεί ειδοποιήσεις για να συλλέξει σε ποια ζώνη ώρας βρίσκεστε, τη φωτεινότητα της οθόνης σας και ποιον πάροχο κινητής τηλεφωνίας χρησιμοποιείτε. Σύμφωνα με την Mysk, το LinkedIn συλλέγει επίσης πλήθος άλλων πληροφοριών που φαίνεται να σχετίζονται ειδικά με διαφημιστική καμπάνια (ένας εκπρόσωπος του LinkedIn χαρακτήρισε αυτό ανακριβές.)
Αξίζει να σημειωθεί ότι το γεγονός ότι μια εφαρμογή μπορεί να συλλέγει αυτές τις πληροφορίες, δεν σημαίνει ότι τις χρησιμοποιεί.
«Δεν αξιοποιούμε τις ειδοποιήσεις ως τρόπο συλλογής δεδομένων μελών για διαφημίσεις ή σχετικές αναλύσεις, cross device ή cross app tracking», δήλωσε εκπρόσωπος του LinkedIn. «Τα δεδομένα που συλλέγονται χρησιμοποιούνται μόνο για να επιβεβαιωθεί ότι μια ειδοποίηση στάλθηκε με επιτυχία». Ο εκπρόσωπος δήλωσε ότι τα δεδομένα δεν κοινοποιούνται ποτέ εξωτερικά.
Η Meta, στην οποία ανήκει το Facebook, μοιράστηκε μια παρόμοια δήλωση. «Τα ευρήματα δεν είναι ακριβή. Οι άνθρωποι συνδέονται στην εφαρμογή μας στη συσκευή τους και παρέχουν άδεια για την ενεργοποίηση των ειδοποιήσεων», δήλωσε ο εκπρόσωπος της Meta, Emil Vasquez. «Ενδέχεται να χρησιμοποιούμε περιοδικά αυτές τις πληροφορίες, ακόμη και όταν η εφαρμογή δεν εκτελείται, για να μας βοηθήσουν να παρέχουμε έγκαιρες και αξιόπιστες ειδοποιήσεις, χρησιμοποιώντας τα API της Apple. Αυτό συνάδει με τις πολιτικές μας».
Αυτές οι λεπτομέρειες δεν είναι ιδιαίτερα ευαίσθητες σε σύγκριση με πράγματα όπως τα δεδομένα τοποθεσίας, αλλά είναι πολύτιμες για τη διαφήμιση και άλλους σκοπούς. Αυτό που πολλοί άνθρωποι δεν συνειδητοποιούν είναι ότι η στοχευμένη διαφήμιση και άλλες παραβιάσεις του ψηφιακού απορρήτου αποσκοπούν στο να ανακαλύψουν την ταυτότητά σας. Οι εταιρείες γνωρίζουν τι κάνετε στις εφαρμογές τους, αλλά δεν γνωρίζουν πάντα ποιος είστε, και τα δεδομένα είναι πολύ λιγότερο χρήσιμα αν δεν ξέρετε ποιανού είναι. Αν οι εταιρείες δεν μπορούν να σας αναγνωρίσουν, δεν μπορούν να σας στοχεύσουν με διαφημίσεις.
Η Apple παρέχει έναν ειδικό αριθμό αναγνωριστικού διαφήμισης που έχει κατασκευαστεί για να διευκολύνει τη συλλογή δεδομένων και τις στοχευμένες διαφημίσεις, αλλά ρυθμίσεις όπως ο έλεγχος “Ask App Not To Track” του iPhone μπλοκάρουν αυτό το αναγνωριστικό διαφήμισης. Θεωρητικά, αυτό υποτίθεται ότι εμποδίζει τις εταιρείες να συνδέουν πληροφορίες σχετικά με εσάς και τη συμπεριφορά σας από διαφορετικές εφαρμογές και άλλα μέρη του διαδικτύου. Αλλά το fingerprinting είναι ένας ύπουλος τρόπος για να συνεχίσουν να το κάνουν ούτως ή άλλως.
Οι εφαρμογές μπορούν να συλλέγουν αυτού του είδους τα δεδομένα για εσάς όταν είναι ανοιχτές, αλλά το κλείσιμο μιας εφαρμογής υποτίθεται ότι διακόπτει τη ροή των δεδομένων και σταματά την εφαρμογή από το να εκτελείται καθόλου. Ωστόσο, φαίνεται ότι οι ειδοποιήσεις παρέχουν μια κερκόπορτα.
Η Apple παρέχει ειδικό λογισμικό για να βοηθήσει τις εφαρμογές σας να στέλνουν ειδοποιήσεις. Για ορισμένες ειδοποιήσεις, η εφαρμογή μπορεί να χρειαστεί να αναπαράγει έναν ήχο ή να κατεβάσει κείμενο, εικόνες ή άλλες πληροφορίες. Εάν η εφαρμογή είναι κλειστή, το λειτουργικό σύστημα του iPhone αφήνει την εφαρμογή να ξυπνήσει προσωρινά για να επικοινωνήσει με τους διακομιστές της εταιρείας, να σας στείλει την ειδοποίηση και να εκτελέσει οποιαδήποτε άλλη απαραίτητη εργασία. Η συλλογή δεδομένων που εντόπισε η Mysk συνέβη κατά τη διάρκεια αυτού του σύντομου παραθύρου.