热门应用滥用苹果 iPhone 推送通知,暗中窃取用户数据

1706239914_65b327aaec7ac23e4c355.png!small?1706239913514

移动研究人员  Tommy Mysk 近日揭露,部分热门应用利用 iPhone 推送通知功能秘密发送用户数据,这引发了用户隐私安全担忧。

许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据,从而有可能创建用于跟踪的指纹档案。 Mysk 指出,这些应用程序绕过了苹果公司的后台应用程序活动限制,对 iPhone 用户构成了隐私风险。

苹果应用商店审查指南中有这样一段话:应用程序不应试图根据收集到的数据偷偷建立用户档案,也不得试图、协助或鼓励他人识别匿名用户,或根据从苹果提供的应用程序接口收集到的数据重建用户档案。

唤醒并收集数据

为防止资源消耗和提高安全性,苹果公司在最初设计 iOS 时就允许应用程序在后台运行。在用户不使用应用程序时,它们就会被暂停并最终终止,因此无法监控或干扰前台活动。

不过,在 iOS 10 中,苹果引入了一个新系统,允许应用程序在后台悄悄启动,以便在设备显示新推送通知之前处理它们。

该系统允许接收推送通知的应用程序解密传入的有效载荷,并从其服务器下载更多内容,以丰富推送通知的内容,然后再提供给用户。完成这一步后,应用程序会再次终止。

通过测试,Mysk 发现许多应用程序滥用了这一功能,将其作为向其服务器发送设备数据的“机会之窗”。根据应用程序的不同,涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。

1706239194_65b324da0f5e46812e381.png!small?1706239192822

推送通知到达时 LinkedIn 的网络数据交换
来源:Mysk

研究人员认为,这些数据可用于指纹识别/用户特征分析,从而实现持续跟踪,而这在 iOS 系统中是被严格禁止的。

Mysk 在 Twitter 上表示:通过这次测试,可以看到这种做法比预想的更为普遍。许多应用程序在被通知触发后发送设备信息的频率令人震惊。

Mysk 在一段视频中演示了这一做法,他指出,苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了,该功能原本是为了让应用丰富通知内容或解密加密信息,但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现,包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用,正在利用推送通知的短暂后台执行时间,发送用户分析信息。

苹果将通过加强对使用设备信号 API 的限制来堵住漏洞,防止推送通知唤醒功能被进一步滥用。从 2024 年春季开始,应用程序将被要求准确声明为什么需要使用可能被滥用于指纹识别的 API。

这些 API 可用于检索设备信息,如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认设置。

苹果表示,如果应用程序没有正确声明其使用这些 API 的情况和用途,就不能在 App Store 上架。

在此之前,希望避免这种指纹识别的 iPhone 用户应禁用推送通知。但将通知设置为静音并不能防止滥用,想要禁用通知,需打开 "设置",前往 "通知",选择要管理通知的应用程序,然后点击切换按钮禁用 "允许通知"。

2023年12 月,有消息称美国政府要求通过苹果和谷歌服务器发送推送通知记录,以此来监视用户。但苹果表示,美国政府禁止他们分享有关这些请求的任何信息,并在此后更新了他们的透明度报告。

参考来源:iPhone apps abuse iOS push notifications to collect user data (bleepingcomputer.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/648877.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Azure AI - 沉浸式阅读器,阅读障碍用户福音

目录 一、什么是沉浸式阅读器将内容划分开来提高可读性显示常用字词的图片突出显示语音的各个部分朗读内容实时翻译内容将单词拆分为音节 二、沉浸式阅读器如何工作?环境准备创建 Web 应用项目设置身份验证配置身份验证值安装标识客户端 NuGet 包更新控制器以获取令…

《ORANGE’S:一个操作系统的实现》读书笔记(三十八)尾声(三)

这篇文章是尾声的第三部分,也是《ORANGE’S:一个操作系统的实现》读书笔记的最后一篇文章,本篇文章记录如何将我们开发的OS安装到真实的计算机(建议在虚拟机中进行)。 将OS安装到真实的计算机 其实安装到真实的硬盘和…

JS slice() 方法总结

在JavaScript中,有一种数组方法叫做slice(),它基于给定的起始和结束位置,创建一个新的数组副本。该方法能够将数组的一部分切成另一个数组。 语法 array.slice(start, end) start: 可选参数,表示切片起始位置的索引。如果没有指…

《Linux C编程实战》笔记:信号的屏蔽

在《Linux C编程实战》笔记:信号的捕捉和处理-CSDN博客的sigaction的sa_mask成员,它的类型就是一个信号集,下面我们来介绍它 信号集 信号的总数目达64个,所以不能用一个整数表示它们的集合,int类型通常是4字节32位&a…

CKA考试练习题

一:为部署管道创建一个新的 ClusterRole 并将其绑定到范围为特定 namespace 的特定 ServiceAccount 要求:创建一个名字为 deployment-clusterrole 且仅允许创建以下(Deployment,StatefulSet ,DaemonSet)资源…

Linux | makefile简单教程 | Makefile的工作原理

前言 在学习完了Linux的基本操作之后,我们知道在linux中编写代码,编译代码都是要手动gcc命令,来执行这串代码的。 但是我们难道在以后运行代码的时候,难道都要自己敲gcc命令嘛?这是不是有点太烦了? 在vs中…

力扣646. 最长数对链

动态规划 思路: 思路与 力扣354. 俄罗斯套娃信封问题 类似将序列进行排序,然后假设 dp[i] 为第 i 个元素的最长数对链个数;则其状态转移方程: 第 i 个元素之前的某一个元素(假设是下标是 j),如…

SPEC CPU 2017 Qemu RISCV

SPEC CPU 2017 Qemu RISCV 以下是 SPEC CPU 2017 的官方描述, 据说在 1.1.9 版本之后支持 RISCV SPEC CPU 2017 may be updated from time to time. To update your copy, use runcpu --update. History: v1.1.9, Nov-2022: Add RISC-V Linux toolset; update sysinfo.v1.1.8, …

KVM部署Alibaba Cloud Linux操作系统

下载镜像文件 下载链接:https://mirrors.aliyun.com/alinux/image/?spma2c4g.11186623.0.0.79ed5af6pehv54 下载文件:aliyun_3_x64_20G_nocloud_alibase_20230727.qcow2 部署KVM虚拟化环境 yum -y install qemu libvirt rr-testsuite systemctl star…

[SUCTF 2019]CheckIn1

黑名单过滤后缀’ph&#xff0c;并且白名单image类型要有对应文件头 对<?过滤&#xff0c;改用GIF89a<script languagephp>eval($_POST[cmd]);</script>&#xff0c;成功把getshell.gif上传上去了 尝试用.htaccess将上传的gif当作php解析&#xff0c;但是失败…

常见的前端打包构建工具有哪些

Webpack&#xff1a; Webpack 是一个模块打包工具&#xff0c;它能够将各种资源&#xff08;JavaScript、CSS、图片等&#xff09;打包成一个或多个静态文件&#xff0c;以优化加载性能。 Parcel&#xff1a; Parcel 是一个零配置的前端打包工具&#xff0c;可以自动识别项目中…

Flutter Text文字下方出现黄色双下划线

在Flutter中&#xff0c;Text组件是属于Material风格的&#xff0c;这就要求我们的根组件最好也是Material风格的&#xff0c;否则UI展示可能会有一些问题。刚刚提到的启动页&#xff0c;根组件直接使用的层叠布局Stack&#xff0c;而Stack就不属于Material风格&#xff0c;当S…

美工前端和数据对接一起做的可视化大屏开发项目工期一周足矣

hello宝子们...我们是艾斯视觉擅长ui设计和前端开发10年经验&#xff01;希望我的分享能帮助到您&#xff01;如需帮助可以评论关注私信我们一起探讨&#xff01;致敬感谢感恩&#xff01; 可视化大屏已经成为企业和组织中不可或缺的一部分。它不仅可以帮助企业更好地展示业务数…

[docker] Docker的私有仓库部署——Harbor

一、Docker原生私有仓库—— Registry 1.1 Registry的简单了解 关于Docker的仓库分为私有库和公有仓库&#xff0c;共有仓库只要在官方注册用户&#xff0c;登录即可使用。但对于仓库的使用&#xff0c;企业还是会有自己的专属镜像&#xff0c;所以私有库的搭建也是很有必要的…

jQuery实现选择方法和保护信息方法

最近呢&#xff01;一直在学习jQuery语法&#xff0c;也没时间发布文章&#xff0c;现在学的差不多了&#xff0c;先跟大家分享下学习感受吧&#xff01;JavaScript学过后&#xff0c;再学习jQuery语法&#xff0c;应该是简单的&#xff0c;但我总是容易把它们搞混&#xff0c;…

开源模型部署及使用

开源模型部署及使用 1.Langchain-Chatchat1.环境2.运行3.效果 2.facefusion1.环境2.运行3.效果 3.Aquila1.环境2.运行 1.Langchain-Chatchat Langchain-Chatchat这里面可以调用许多模型&#xff0c;我本地下载了chatglm3模型文件&#xff0c;所以就用这个模型。 1.环境 根据…

牛客网---------[USACO 2016 Jan S]Angry Cows

题目描述 Bessie the cow has designed what she thinks will be the next big hit video game: "Angry Cows". The premise, which she believes is completely original, is that the player shoots cows with a slingshot into a one-dimensional scene consistin…

实现负载均衡

1.安装依赖 sudo apt insta11 libgd-dev 2.下载nginx wget http://nginx.org/download/nginx-1.22.1.tar.gz 3.解压nginx tar -zvxf nginx-1.22.1.tar.g2 4.编译安装 cd nginx-1.22.1 5.编译并指定安装位置&#xff0c;执行安装之后会创建指定文件夹/www/env/nginx ./configure…

【大数据】流处理基础概念(二):时间语义(处理时间、事件时间、水位线)

流处理基础概念&#xff08;一&#xff09;&#xff1a;Dataflow 编程基础、并行流处理流处理基础概念&#xff08;二&#xff09;&#xff1a;时间语义&#xff08;处理时间、事件时间、水位线&#xff09;流处理基础概念&#xff08;三&#xff09;&#xff1a;状态和一致性模…

使用pysimplegui+opencv编写一个摄像头的播放器

需求 使用pysimplegui和opencv实现一个播放器&#xff0c;播放 摄像头的画面。 代码实现 import cv2 import time from typing import Iterable, NamedTuple, Optionalimport PySimpleGUI as sgclass CameraSpec(NamedTuple):name: strindex: intwidth: intheight: intfps: i…