Le notifiche push di iOS sono nuovamente al centro dell’attenzione, dopo la scoperta di inizio dicembre 2023. Due ricercatori di sicurezza, noti come Mysk, hanno rilevato che molte app (principalmente quelle dei social media) sfruttano la funzionalità del sistema operativo per raccogliere dati sul dispositivo. Ciò consente di tracciare l’utente, come avviene con la tecnica del fingerprinting.
Violazione della privacy con notifiche
iOS non permette alle app di eseguire attività in background (tranne che in pochi casi, come per il download) per motivi di privacy e prestazioni. Quando non viene usata, quindi non è in primo piano, il sistema operativo sospende o termina l’app. Tuttavia, a partire da iOS 10, le app possono essere risvegliate in background per mostrare una notifica push all’utente.
Per un breve intervallo di tempo, le app possono eseguire attività correlate alla notifica, come il download del contenuto da visualizzare nella notifica. Al termine, l’app viene nuovamente terminata. I due ricercatori hanno scoperto che questa funzionalità viene sfruttata per raccogliere dati sul dispositivo, tra cui modello, lingua, stato della batteria, luminosità dello schermo e memoria disponibile. Tali informazioni consentono di creare un profilo univoco e quindi di tracciare le attività dell’utente.
Nel video si può vedere il traffico di rete generato da TikTok, Facebook, X, LinkedIn e Bing durante la ricezione delle notifiche push. Le app inviano i dati ai propri server tramite Google Analytics, Firebase e sistemi proprietari. Nel caso di Facebook, X e LinkedIn, i dati sono inviati anche dopo la chiusura delle notifiche.
Fortunatamente, entro la primavera, Apple obbligherà gli sviluppatori a specificare il motivo per cui usano le API che consentono di raccogliere dati sul dispositivo. In caso contrario, le app non verranno pubblicate sullo store. Al momento, l’unica soluzione è disattivare le notifiche push.