Altro che cookie! Notifiche push usate per tracciare gli utenti iOS

Tante applicazioni iOS sfruttano i processi in background attivati dalle notifiche push per raccogliere dati sugli utenti, abilitando la creazione di profili “ad hoc” per il tracciamento. Lo hanno scoperto i ricercatori di Mysk, società che non è nuova a questo tipo di verifiche. In passato, Mysk aveva tirato le orecchie all’azienda guidata da Tim Cook sostenendo e dimostrando che Apple raccoglieva gli identificativi degli utenti.

Seguendo un po’ con il medesimo filo conduttore, gli esperti di Mysk affermano che un numero molto ampio di applicazioni iOS utilizza pratiche poco cristalline, al fine di porre in essere attività di fingerprinting ovvero per “schedare” ciascun utente Apple. Le app in questione eludono le restrizioni sulle operazioni svolte in background, che Apple impone, e costituiscono un rischio per la privacy degli utenti di iPhone.

Notifiche push su iOS utilizzate per profilare gli utenti

“Le app non dovrebbero tentare di costruire segretamente un profilo utente basato su dati raccolti e non dovrebbero cercare, agevolare o incoraggiare altri a identificare utenti anonimi o ricostruire profili utente basati su dati raccolti da API fornite da Apple o da dati dichiarati essere stati raccolti in modo ‘anonimo’, ‘aggregato’ o in qualsiasi altro modo non identificabile“, recita una sezione delle linee guida dell’Apple App Store.

Apple ha progettato iOS in modo da non consentire alle app di eseguire processi in background, per evitare il consumo di risorse e per una maggiore sicurezza. Quando restano inutilizzate, le app iOS sono dapprima “sospese” quindi chiuse forzosamente, in modo che non possano interferire con le attività in primo piano.

A partire da iOS 10, Apple ha introdotto un nuovo sistema che consente alle app di avviarsi silenziosamente in background per elaborare le nuove notifiche push prima che il dispositivo le visualizzi effettivamente. Il sistema consente alle app di scaricare eventualmente contenuti aggiuntivi dai loro server per arricchire la notifica push prima che essa sia mostrata all’utente.

Mysk ha scoperto che molte app abusano di questa caratteristica, sfruttandola per scambiare dati tra server e dispositivo dell’utente. Tra le informazioni che possono essere inviate ci sono, ad esempio, l’uptime del sistema (da quanto tempo iOS risulta avviato), le preferenze regionali e di lingua, la memoria disponibile, lo stato della batteria, l’uso dello storage, il modello del dispositivo e la luminosità dello schermo. Queste informazioni, similmente all’approccio usato per il fingerprinting lato Web, possono essere sfruttate per svolgere attività di profilazione, consentendo attività di tracciamento persistente, cosa espressamente vietata in iOS.

In questo video YouTube, Mysk mostra alcuni esempi di transazioni poste in essere da app quali TikTok, Facebook, X (Twitter), LinkedIn e Bing durante la ricezione di notifiche push.

Apple decisa a risolvere il problema

L’azienda di Cupertino prevede di risolvere a stretto giro il problema impedendo ulteriori abusi. A partire dalla primavera 2024, le app iOS saranno tenute a dichiarare precisamente perché devono utilizzare le API che possono essere sfruttate per attività di fingerprinting. In altre parole, sarà molto più complicato per un’applicazione richiamare le API che consentono di raccogliere informazioni sulla configurazione del dispositivo. A meno che non ci sia un motivo valido per farlo.

Il problema era peraltro già noto: a dicembre 2023, infatti, Apple e Google ammisero la condivisione dei dettagli sulle notifiche push con alcuni governi che ne avevano fatto esplicita richiesta.

Credit immagine in apertura: iStock.com – Vadym Plysiuk