Las aplicaciones para iPhone, incluidas Facebook, LinkedIn, TikTok y X/Twitter, están eludiendo las reglas de privacidad de Apple para recopilar datos de usuario a través de notificaciones, según las pruebas. por investigadores de seguridad en Mysk Inc., una empresa de desarrollo de aplicaciones. Los usuarios a veces cierran las aplicaciones para evitar que recopilen datos en segundo plano, pero esta técnica evita eso protección. Los datos son innecesarios para procesar notificaciones, dijeron los investigadores, y parecen estar relacionados con análisis, publicidad y seguimiento de usuarios en diferentes aplicaciones. y dispositivos.
Es normal que las aplicaciones encuentren oportunidades para colarse en más recopilación de datos, pero “nos sorprendió saber que esto “La práctica se utiliza ampliamente”, dijo Tommy Mysk, quien realizó las pruebas junto con Talal Haj Bakry. ¿Una acción tan simple como descartar una notificación provocaría el envío de mucha información única del dispositivo a servidores remotos? Piense en el hecho de que los desarrolladores pueden hacer eso bajo demanda”.
Estas aplicaciones en particular no son malos actores inusuales. Según los investigadores, es un problema generalizado que afecta al ecosistema del iPhone.
Esta no es la primera vez que las pruebas de Mysk descubren problemas de datos en Apple, que ha gastado incontables millones en convencer al mundo de que “qué sucede en tu iPhone, permanece en tu iPhone”. En octubre de 2023, Mysk descubrió que una función elogiada del iPhone destinada a proteger los detalles sobre tu dirección WiFi no es tan privado como promete la empresa. En 2022, Apple fue golpeada más de una docena de demandas colectivas después de que Gizmodo informara sobre el hallazgo de Mysk de que Apple recopila datos sobre sus usuarios incluso después de activar el interruptor de la configuración de privacidad del iPhone que promete “deshabilitar por completo el uso compartido de análisis de dispositivos”.
Los datos parecen información que se utiliza para “tomar huellas dactilares”, una técnica que las empresas utilizan para identificarlo basándose en varios detalles aparentemente inocuos sobre su dispositivo. La toma de huellas dactilares elude las protecciones de privacidad para rastrear a las personas y enviarles anuncios dirigidos, y Apple prohíbe explícitamente a las empresas hacerlo. iPhones y Otros productos Apple tienen muchas configuraciones y reglas implementadas que se supone que le brindan control sobre cuándo las empresas pueden identificarlo y recopilar datos.
Por ejemplo, las pruebas mostraron que cuando interactúas con una notificación de Facebook, la aplicación recopila direcciones IP, el número de milisegundos desde Se reinició su teléfono, la cantidad de espacio de memoria libre en su teléfono y una serie de otros detalles. Combinando datos como estos es suficiente para identificar a una persona con un alto nivel de precisión. Las otras aplicaciones en la prueba recopilaron información similar. LinkedIn, por ejemplo , utiliza notificaciones para recopilar en qué zona horaria se encuentra, el brillo de su pantalla y qué operador de telefonía móvil está utilizando, así como un una gran cantidad de otra información que parece estar específicamente relacionada con campañas publicitarias, dijo Mysk.
El hecho de que una aplicación pueda recopilar esta información no significa que la esté usando.
Meta, propietaria de Facebook, dijo que las conclusiones de Mysk son una mala interpretación. “Los hallazgos no son precisos. Las personas inician sesión en nuestra aplicación en su dispositivo y proporcionar permiso para habilitar notificaciones», dijo Emil Vázquez, un portavoz de Meta. «Podemos utilizar esta información periódicamente, incluso cuando la aplicación no se está ejecutando, para ayudarnos a entregar notificaciones oportunas y confiables, utilizando las API de Apple. Esto es consistente con nuestras políticas”.
LinkedIn compartió una declaración similar. “No estamos aprovechando las notificaciones como una forma de recopilar datos de los miembros para publicidad o análisis relacionados, entre dispositivos. o seguimiento entre aplicaciones”, dijo un portavoz de LinkedIn. “Cualquier dato relacionado con las notificaciones solo se utiliza para confirmar que una notificación se realizó correctamente. Se envía y nunca se comparte externamente”. Apple, TikTok y X/Twitter no respondieron de inmediato las preguntas de Gizmodo para este artículo.
Estos detalles no son particularmente sensibles en comparación con cosas como los datos de ubicación, pero son valiosos para publicidad y otros fines. Lo que no te das cuenta es que la publicidad dirigida y otras invasiones de la privacidad digital tienen que ver con descubrir tu identidad. Las empresas saben lo que eres. haciendo en sus aplicaciones, pero no siempre saben quién eres y los datos son mucho menos útiles si no lo sabes saber de quién es. Si las empresas no pueden identificarlo, no pueden dirigirse a usted con anuncios. Apple proporciona un número de identificación de publicidad especial que está diseñado específicamente para facilitar la recopilación de datos y anuncios dirigidos, pero en configuraciones como las del iPhone.Solicitar a la aplicación que no rastree
“Controlar bloquear esa ID de anuncio. En teoría, se supone que esto impide que las empresas vinculen información sobre usted y su comportamiento de diferentes aplicaciones y otras partes de Internet. Pero la toma de huellas dactilares es una forma discreta de seguir haciéndose de todos dos.
Las aplicaciones pueden recopilar este tipo de datos sobre usted cuando están abiertas, pero se supone que deslizar una aplicación para cerrarla corta el flujo. de datos y detener la ejecución de una aplicación. Sin embargo, parece que las notificaciones proporcionan una puerta trasera.Apple proporciona software especial
para ayudar a sus aplicaciones a enviar notificaciones. Para algunas notificaciones, es posible que la aplicación necesite reproducir un sonido o descargar texto, imágenes u otros información. Si la aplicación está cerrada, el sistema operativo del iPhone permite que la aplicación se active temporalmente para comunicarse con los servidores de la empresa y enviarle el notificación y realizar cualquier otro negocio necesario. La recolección de datos que Mysk detectó ocurrió durante esta breve ventana.
“Pueden enviar intencionalmente una notificación a un dispositivo objetivo solo para que la aplicación se inicie en segundo plano y envíe detalles”, Mysk dijo. O si una empresa como TikTok o X/Twitter quisiera una actualización rápida de las direcciones IP de 100.000 personas que tienen sus aplicaciones cerradas, una notificación rápida es todo lo que se necesita. “Es alucinante”, dijo.
Es perfectamente razonable que una aplicación quiera analizar cómo los usuarios interactúan con las notificaciones para optimizar sus servicios. Sin embargo, Mysk dijo existen algunas razones para pensar que no es por eso que las aplicaciones recopilan estos datos. Por un lado, Appleproporciona detalles a los desarrolladores de aplicaciones
sobre lo que sucede con las notificaciones directamente, por lo que no hay necesidad de recopilar información adicional si sabe qué sucedió después de hacer ping a su usuarios. Además, muchos de los datos que las aplicaciones recopilan no parecen estar relacionados con el análisis de qué tan bien funcionan las notificaciones, como la disponibilidad de su teléfono. espacio en disco o el tiempo desde su último reinicio, dijo Mysk.
Más allá de eso, otras empresas ávidas de datos envían notificaciones sin darse un festín con toda esta otra información. Cuando Mysk probó Gmail y YouTube, por Por ejemplo, las aplicaciones solo recopilaron datos que obviamente estaban relacionados con el procesamiento de notificaciones. Mysk dijo que si una empresa como Google puede enviarle un notificación sin espiar otros detalles, lo que sugiere que hay motivos ocultos para la recopilación de datos que detectó.
Hay algunas explicaciones potencialmente inocentes para el problema de los datos de notificaciones. Por ejemplo, los desarrolladores a veces dejan código antiguo en sus aplicaciones que funciones que las empresas ya no necesitan. Es teóricamente posible que una aplicación como LinkedIn pueda estar configurada para recopilar datos que no utilizado para cualquier propósito. Los investigadores, sin embargo, dijeron que es difícil de creer.Hay un próximo cambio en las reglas del sistema operativo del iPhone que podría mejorar la situación, pero no está claro si resolverá el problema . A partir de la primavera de 2024, los desarrolladores de aplicaciones seránrequerido para explicar
por qué y cómo utilizan ciertas “API”, que, en este contexto, son esencialmente piezas de software que las aplicaciones utilizan para comunicarse entre sí y con el sistema operativo del iPhone.
En teoría, eso podría obligar a las empresas a revelar por qué lo vigilan y, si recopilan datos con fines ilegítimos, tal vez tengan que parar. “La mala noticia es que no está claro cómo Apple va a hacer cumplir esto”, dijo Mysk.Desafortunadamente, es posible que hayas escuchado que las grandes empresas a veces dicen mentiras, lo que obstaculizaría esa solución, y Appleno tiene un historial estelar
de hacer cumplir reglas similares. This story has been updated with additional comments from LinkedIn.
