Onderzoek: iOS-apps gebruiken pushnotificaties om stiekem data te verzamelen
IOS-apps maken gebruik van pushnotificaties om stiekem in de achtergrond gegevens van toestellen te verzamelen, ook als ze niet actief zijn. Het gaat onder andere om apps van TikTok, Facebook, FB Messenger, Instagram, Threads en X, zo stellen beveiligingsonderzoekers van softwarebedrijf Mysk op X en in deze YouTube-video.
IOS apps kunnen vanwege prestatie- en privacyredenen niet in de achtergrond draaien en worden uiteindelijk door het besturingssysteem gesloten, aldus de onderzoekers. Met iOS 10 introduceerde Apple een nieuwe feature waardoor apps hun pushnotificaties kunnen aanpassen, ook als ze niet actief zijn. Wanneer een app een pushnotificatie ontvangt, start iOS de app in de achtergrond en geeft het de tijd om de notificatie aan te passen voordat die aan de gebruiker wordt getoond. Dit kan bijvoorbeeld nodig zijn om aanvullende content te downloaden of de inhoud van de notificatie te ontsleutelen. Zodra de app klaar is met het aanpassen van de notificatie wordt die door iOS beëindigd.
"De mogelijkheid om taken in de achtergrond uit te voeren is een goudmijn voor datahongerige apps", aldus de onderzoekers. Die noemen het niet verrassend dat veel sociale apps, berucht om hun agressieve dataverzameling, misbruik van pushnotificaties maken om gegevens te verzamelen. Via de feature van iOS is het zelfs mogelijk om op bevel code in de achtergrond uit te voeren. "Het enige dat ze hoeven te doen is het versturen van pushnotificaties naar hun gebruikers. Vervolgens kan iOS hun app op elk toestel in de achtergrond starten, waarna de app elke code zal uitvoeren die de ontwikkelaar heeft ingebouwd", zo stellen de onderzoekers.
Volgens de documentatie van Apple is het starten van apps in de achtergrond bedoeld om apps de mogelijkheid te geven om notificaties aan te passen. Veel apps gebruiken de feature echter als een mogelijkheid om uitgebreide informatie over het toestel te verzamelen, terwijl ze stilletjes in de achtergrond draaien, gaan de onderzoekers verder. Het gaat dan onder andere om de uptime van het toestel, taalinstelling van het toetsenbord, beschikbaar geheugen, batterijstatus, apparaatmodel en schermhelderheid. Dit soort informatie wordt volgens de onderzoekers gebruikt voor het fingerprinten en tracken van gebruikers over verschillende apps van verschillende ontwikkelaars.
Op basis van onderzoek stellen de onderzoekers dat dit gedrag veel vaker voorkomt dan gedacht. Om deze vorm van dataverzameling te stoppen is de enige keuze voor gebruikers om alle notificaties van de betreffende app uit te schakelen. Afsluitend melden de onderzoekers dat Apple vanaf het tweede kwartaal ontwikkelaars zal verplichten om een reden te geven waarom ze gegevens die voor fingerprinting zijn te gebruiken willen verzamelen.
Zou goed zijn daar mee inzicht te krijgen om dit soort praktijken te laten opvallen.
Zou goed zijn daar mee inzicht te krijgen om dit soort praktijken te laten opvallen.
Daarnaast altijd background app refresh uitzetten voor alles waar het niet nodig is en dat is 99% van alle applicaties.
Alsmede het nadenken over inperken van bijvoorbeeld mobiele data toegang en het uitschakelen van de wifi tijdens de uren dat je het niet nodig hebt. Ik blokkeer bijvoorbeel alle apple hun eigen netwerk verkeer tenzij ik het nodig heb zodra ik wil updaten. Naast het uitschakelen van alle overbodige API's onder Safari Feature Flags
Zou goed zijn daar mee inzicht te krijgen om dit soort praktijken te laten opvallen.
Een push melding kan gewoon enkele bits zijn, dus hoeft niet perse op te vallen in de databundel.
Wat wel vreemd is dat apple NU ineens geen actie onderneemt op oneigenlijk gebruik van apps op hun platform...
Gevalletje iedereen doet het (al dan niet met toestemming van apple, die het op deze manier marketing technisch kan verkopen).. beetje hypocriete shit daar in cali..
ING mag ivm een lek een app niet snel updaten, apps met verwijzing naar sinterklaas komen in de ban, maar apps die tegen alle wereldwijde wetten, iig zeker de nederlandse wet ingaan, namelijk het volgen en verzamelen van data waar geen toestemming voor gegegen is door de gebruiker, en het oneigenlijk gebruik van computersystemen (lees: iphone, ipad, imac, macbook, mac-mini) om illegale data te verzamelen.. nou... dan vinden ze bij apple geen probleem...
Zou goed zijn daar mee inzicht te krijgen om dit soort praktijken te laten opvallen.
Daarnaast altijd background app refresh uitzetten voor alles waar het niet nodig is en dat is 99% van alle applicaties.
Alsmede het nadenken over inperken van bijvoorbeeld mobiele data toegang en het uitschakelen van de wifi tijdens de uren dat je het niet nodig hebt. Ik blokkeer bijvoorbeel alle apple hun eigen netwerk verkeer tenzij ik het nodig heb zodra ik wil updaten. Naast het uitschakelen van alle overbodige API's onder Safari Feature Flags
Een DNS log opzetten is voor de gemiddelde gebruiker niet te doen. Apple biedt in haar iOS wel de optie aan voor apps (om dataverkeer te monitoren), maar juist die pushberichten vallen buiten de controls. en ook al zet je mobiele data toegang voor een app uit, pushberichten voor die app blijven mogelijk want dat loopt niet via de app in eerste instantie (tenzij je voor die app push uitzet).
Als Apple voor push notitificaties het dus niet op 1 hoop gooit, maar daar ook per applicatie uitsplitst is dit snel voor iedereen zichtbaar, want je hebt wel een idee hoeveel pushmessages je per app ontvangt (dat erbij tonen geeft ook context).
Leer mij je vrienden kennen, en ik weet wie je bent. Die talloze anderen, bedrijven en instanties die daar wel voor "kiezen" hebben jouw naam, adres, 06-nummer en e-mailadres in hun contactenlijsten staan, waardoor indirect ook jouw privacy te grabbel wordt gegooid. Door de analyse van hun sociale profielen en de netwerken waarin zij zich begeven, zijn hun advertentie-ID's en vele andere parameters ook aan jouw persoonsgegevens, interessen en gedragingen te koppelen.
Leer mij je vrienden kennen, en ik weet wie je bent. Die talloze anderen, bedrijven en instanties die daar wel voor "kiezen" hebben jouw naam, adres, 06-nummer en e-mailadres in hun contactenlijsten staan, waardoor indirect ook jouw privacy te grabbel wordt gegooid. Door de analyse van hun sociale profielen en de netwerken waarin zij zich begeven, zijn hun advertentie-ID's en vele andere parameters ook aan jouw persoonsgegevens, interessen en gedragingen te koppelen.
Leer mij je vrienden kennen, en ik weet wie je bent. Die talloze anderen, bedrijven en instanties die daar wel voor "kiezen" hebben jouw naam, adres, 06-nummer en e-mailadres in hun contactenlijsten staan, waardoor indirect ook jouw privacy te grabbel wordt gegooid. Door de analyse van hun sociale profielen en de netwerken waarin zij zich begeven, zijn hun advertentie-ID's en vele andere parameters ook aan jouw persoonsgegevens, interessen en gedragingen te koppelen.
Correct. Bijvoorbeeld Facebook/Meta weet minimaal jouw volledige naam, telefoonnummer en het gros van de sites en apps die jij gebruikt.
Helaas is jouw recht uitvoeren om te achterhalen om welke data het gaat onmogelijk gemaakt door Meta.
En AP reageert niet op klachten hieromtrent.
Bij een diepe browserscan weet men je provider IP naast je Tor-button extensie IP \
en ook waar je provider "woont", dus je straat en je huisnummer (via exacte coordinaten).
Waarom vertelt men niet wat er daadwerkelijk bij mensen aan de andere kant van hun schermpje gebeurt?
#laufer
https://9to5mac.com/2024/01/25/spy-on-iphone-users/
Vluchten kan niet meer, ik zou niet weten hoe.
En waar dienen die data toe, dan alleen om je nog verder en gemakkelijker te kunnen 'uitbenen'?
En ze kijken later naar je 'als een ekster naar een bot' (zegt het Slavische spreekwoord).
#laufer
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
