苹果应用滥用推送通知后台进程，悄悄收集用户数据，引发隐私担忧

许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集有关设备的用户数据，从而可能允许创建用于跟踪的指纹配置文件。

根据发现这种做法的移动研究人员Mysk的说法，这些应用程序绕过了Apple的后台应用程序活动限制，并对iPhone用户构成了隐私风险。

“应用程序不应试图根据收集的数据秘密构建用户配置文件，也不得尝试、促进或鼓励他人根据从 Apple 提供的 API 收集的数据或您所说的以'匿名”、“聚合”或其他不可识别方式收集的任何数据）来识别匿名用户或重建用户配置文件，“Apple App Store 审查指南的一部分写道。

在分析了 iOS 后台进程在接收或清除通知时发送了哪些数据后，Mysk 发现这种做法比以前想象的要普遍得多，涉及许多拥有相当大用户群的应用程序。

唤醒并收集数据

Apple 将 iOS 设计为不允许应用程序在后台运行，以防止资源消耗并提高安全性。不使用应用时，它们会被暂停并最终终止，因此它们无法监视或干扰前台活动。

不过，在iOS 10中，Apple引入了一个新系统，允许应用程序在后台悄悄启动，以在设备显示新的推送通知之前处理它们。

该系统允许接收推送通知的应用解密传入的有效负载，并从其服务器下载其他内容，以在向用户提供内容之前对其进行扩充。完成此过程后，应用将再次终止。

通过测试，Mysk 发现许多应用程序滥用此功能，将其视为将有关设备的数据传输回其服务器的机会之窗。根据应用程序的不同，这包括系统正常运行时间、区域设置、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示器亮度。

研究人员认为，这些数据可用于指纹识别/用户分析，从而允许持续跟踪，这在iOS中是严格禁止的。

“我们的测试表明，这种做法比我们预期的更普遍。许多应用程序在被通知触发后发送设备信息的频率令人兴奋，“Mysk 在 Twitter 上的一篇文章中解释道。

Mysk 创建了以下视频，显示了 TikTok、Facebook、X （Twitter）、LinkedIn 和 Bing 接收推送通知期间的网络流量交换。

这些应用程序被发现使用 Google Analytics、Firebase 或他们自己的专有系统等服务将各种设备数据发送到他们的服务器。

BleepingComputer联系了Microsoft，X，Apple，TikTok和LinkedIn，询问他们的应用程序检索用户数据，但没有立即得到答复。

缓解问题

苹果将通过收紧对使用设备信号的API的限制来填补这一空白，并防止进一步滥用推送通知唤醒。

Mysk 告诉 BleepingComputer，从 2024 年春季开始，应用程序将被要求准确声明为什么它们需要使用可能被滥用用于指纹识别的 API。

这些 API 用于检索有关设备的信息，例如其磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认值。

如果应用程序没有正确声明它们对这些 API 的使用以及它们的用途，Apple 表示它们将被从 App Store 中拒绝。

在此之前，想要逃避这种指纹识别的iPhone用户应该完全禁用推送通知。不幸的是，将通知设置为静音并不能防止滥用。

要禁用通知，请打开“设置”，前往“通知”，选择要管理通知的应用程序，然后点击切换开关以禁用“允许通知”。

去年 12 月，有消息称，政府要求通过苹果和谷歌的服务器发送推送通知记录，以此来监视用户。

苹果公司表示，美国政府禁止他们分享有关这些请求的任何信息，并更新了他们的透明度报告。