Skip to main content

Реклама и push-уведомления, используемые пользователями iPhone | Глаз смотрит через дыру в стене

Согласно двум отдельным отчетам, реклама в приложениях и push-уведомления используются для идентификации пользователей iPhone и слежки за ними.

В первом говорится, что реклама в приложении используется для сбора данных, предназначенных для идентификации вашего iPhone, и отправки особо конфиденциальных данных в службы безопасности, а во втором говорится, что такие приложения, как Facebook и TikTok, используют уязвимость в способе обработки push-уведомлений. iOS для получения данных для собственного использования…

Проблема снятия отпечатков пальцев устройства

Когда Apple изменила правила, требуя, чтобы приложения запрашивали ваше разрешение, прежде чем отслеживать вас, вскоре компании начали работать над бэкдорным методом достижения той же цели: снятием отпечатков пальцев устройства.

Мы обратили на это внимание еще до того, как прозрачность отслеживания приложений была запущена. Еще в 2020 году мы уже предупреждали, что рекламодатели разработали обходной путь.

В конечном счете, последний шаг Apple в области конфиденциальности не будет иметь большого значения: у рекламодателей уже есть новый способ отслеживать нас, и Apple мало что может с этим поделать: снятие отпечатков пальцев устройства. […]

Каждый раз, когда вы посещаете веб-сайт, ваш браузер передает набор данных, предназначенных для обеспечения правильного отображения сайта на вашем устройстве. Например, веб-сайт должен выглядеть по-разному на iMac и iPhone.

Время шло, веб-сайты становились все более сложными, а объем данных, передаваемых вашим браузером, увеличивался. Когда веб-сайт анализирует все доступные ему данные, все становится очень конкретным и очень быстрым.

Цель снятия отпечатков пальцев устройства — попытаться идентифицировать каждое уникальное устройство, присвоив ему отпечаток устройства. Затем это можно использовать для отслеживания вас точно так же, как IDFA.

Мы указали сайты, которые вы можете посетить, чтобы определить, можно ли однозначно идентифицировать ваше устройство.

404 СМИ сообщают о Patternz, который они описывают как «глобальный инструмент телефонного шпионажа, отслеживающий миллиарды [of people]».

Сотни тысяч обычных приложений, включая такие популярные, как 9gag, Kik и ряд приложений для идентификации вызывающего абонента, являются частью глобальной системы наблюдения, которая начинается с рекламы внутри каждого приложения и заканчивается тем, что пользователи приложений попадают в По данным расследования 404 Media, мощный инструмент массового мониторинга, рекламируемый органам национальной безопасности, который может отслеживать физическое местонахождение, хобби и членов семей людей для создания миллиардов профилей.

Patternz заключает сделки с небольшими рекламными сетями, готовыми участвовать в теневых действиях, собирать отпечатки пальцев устройств и использовать их для запуска слежки.

Хотя в качестве примера был приведен пользователь Android, та же тактика работает с десятками тысяч приложений для iPhone.

Тон признает, что платформа была создана как «платформа внутренней безопасности». В других маркетинговых материалах в Интернете Patternz позиционирует себя специально для «органов национальной безопасности».

В какой-то момент видео Тон нажимает на определенный профиль. На следующем экране отображается обширная информация об этом конкретном устройстве и, как следствие, о человеке. Он включает в себя длинный список связанных с ними GPS-координат, причем Тон говорит, что точность определения местоположения может достигать метра; какому адресу соответствовали эти координаты; часто посещаемые места человека, включая его домашний и рабочий адрес (для этой цели он находится в близлежащей больнице, говорит Тон); конкретные приложения, используемые человеком (в данном случае «Идентификатор вызывающего абонента и блокировка с помощью CallApp» и «Truecall — идентификатор и блокировка вызывающего абонента»); марка телефона и его операционная система (телефон Samsung под управлением Android 9); и список других пользователей, которые находились рядом с целью, когда они были дома и на работе.

Это делается путем злоупотребления инструментом онлайн-рекламы и рекламы в приложениях, известным как назначение ставок в реальном времени. Идея заключается в том, что если вы производитель виджетов, желающий продавать товары пользователям iPhone 15 в США, интересующимся автомобилями, вы можете конкурировать с другими рекламодателями, ищущими ту же аудиторию. Процесс торгов показывает, сколько доступно пользователей, соответствующих вашей целевой аудитории.

Проблема в том, что службы безопасности могут выдавать себя за претендентов на рекламу, вводить очень конкретный набор целевых критериев – настолько конкретных, что он будет идентифицировать конкретных людей – а затем получать огромное количество конфиденциальных данных об этом человеке.

Исследование выявило 61 894 приложения для iOS, которые использовались таким образом – без их ведома. Злодеем здесь является компания, стоящая за Patternz, а не разработчики приложений.

Исследователи безопасности Мыск обнаружили, что push-уведомлениями iPhone злоупотребляют аналогичным образом.

iOS предоставляет фоновым приложениям возможность отправлять вам push-уведомления.

Это работает следующим образом: когда приложение получает push-уведомление, iOS пробуждает приложение в фоновом режиме и дает ему ограниченное время для настройки уведомления, прежде чем оно будет представлено пользователю. Это очень полезно приложениям для выполнения задач, связанных с уведомлением, таких как расшифровка полезных данных уведомления или загрузка дополнительного контента для дальнейшего обогащения уведомления, прежде чем iOS представит его пользователю. И как только приложение завершит настройку уведомления, iOS закроет его.

Но Миск говорит, что многие приложения злоупотребляют этой привилегией для снятия отпечатков пальцев с вашего iPhone.

Однако многие приложения используют эту функцию как возможность отправлять подробную информацию об устройстве, работая в фоновом режиме. Сюда входят: время безотказной работы системы, языковой стандарт, язык клавиатуры, доступная память, состояние батареи, модель устройства, яркость дисплея и многое другое. Такие сигналы обычно используются для снятия отпечатков пальцев и отслеживания пользователей в различных приложениях, разработанных разными разработчиками. Снятие отпечатков пальцев строго запрещено на iOS и iPadOS.

В данном случае виноваты разработчики. Доказательство этому вы можете увидеть на видео ниже.

Google и Apple отвечают

Google заявила, что разорвала отношения с одной компанией, использующей рекламу в качестве инструмента для снятия отпечатков пальцев, в то время как Apple планирует ввести новые меры защиты от неправильного использования push-уведомлений.

Начиная с весны 2024 года Apple потребует от разработчиков объявлять причины использования API, которые возвращают уникальные сигналы устройств, например те, которые обычно используются для снятия отпечатков пальцев.

Фото Дмитрия Ратушного на Unsplash