| 25 янв 2024 — 6:05 утра по тихоокеанскому времени
Согласно двум отдельным отчетам, как реклама в приложениях, так и push-уведомления используются для идентификации и слежки за пользователями iPhone.
Первый отчет гласит, что реклама в приложениях используется для сбора данных, предназначенных для идентификации вашего iPhone и отправки крайне конфиденциальных данных в службы безопасности, в то время как второй отчет обнаружил, что такие приложения, как Facebook и TikTok, используют уязвимость в обработке push-уведомлений iOS для получения данных для собственных нужд…
Проблема фингерпринтинга устройств
Когда Apple изменила правила, требуя от приложений запрашивать ваше разрешение перед отслеживанием, компании вскоре начали работать над обходным методом достижения того же самого: фингерпринтингом устройств.
Мы обращали внимание на это еще до того, как появилось App Tracking Transparency. Еще в 2020 году мы предупреждали, что рекламодатели разработали обходной путь.
В конечном итоге последний шаг Apple в области конфиденциальности не будет иметь большого значения: уже существует новый способ отслеживания нас рекламодателями, и Apple мало что может с этим поделать: фингерпринтинг устройств […]
Каждый раз, когда вы посещаете веб-сайт, ваш браузер передает набор данных, предназначенный для корректного отображения сайта на вашем устройстве. Например, веб-сайт должен отображаться очень по-разному на iMac и iPhone.
По мере того как веб-сайты становились все более сложными, объем данных, передаваемых вашим браузером, увеличивался. Когда веб-сайт анализирует *все* доступные ему данные, все становится очень специфичным, очень быстро.
Цель фингерпринтинга устройств — попытаться идентифицировать каждое уникальное устройство, присвоив ему отпечаток устройства. Затем это может быть использовано для отслеживания вас точно так же, как IDFA.
Мы указали на сайты, которые вы можете посетить, чтобы определить, можно ли уникально идентифицировать ваше устройство.
Patternz: «шпионский инструмент на основе рекламы, отслеживающий миллиарды»
404 Media сообщает о Patternz, который описывает как «глобальный шпионский инструмент для телефонов, отслеживающий миллиарды [людей]».
Сотни тысяч обычных приложений, включая популярные, такие как 9gag, Kik, и ряд приложений для определения номера звонящего, являются частью глобальной системы наблюдения, которая начинается с рекламы внутри каждого приложения и заканчивается тем, что пользователи приложений попадают в мощный инструмент массового мониторинга, рекламируемый агентствам национальной безопасности, который может отслеживать физическое местоположение, хобби и членов семьи людей для создания миллиардов профилей, согласно расследованию 404 Media.
Patternz заключает сделки с небольшими рекламными сетями, готовыми участвовать в сомнительных практиках, чтобы собирать отпечатки устройств и использовать их для запуска слежки.
Хотя в качестве примера был приведен пользователь Android, тот же метод работает через десятки тысяч приложений для iPhone.
Ton признает, что платформа была создана как «платформа внутренней безопасности». В других маркетинговых материалах в Интернете Patternz позиционирует себя специально для «агентств национальной безопасности».
В одном из моментов видео Ton нажимает на конкретный профиль. На следующем экране отображается множество информации об этом конкретном устройстве, а следовательно, и о человеке. Это включает в себя длинный список GPS-координат, связанных с ним, причем Ton говорит, что точность определения местоположения может достигать метра; адрес, соответствующий этим координатам; часто посещаемые места человека, включая его домашний и рабочий адрес (который для этого объекта находится в близлежащей больнице, говорит Ton); конкретные приложения, используемые человеком (в данном случае «Caller ID & Block by CallApp» и «Truecall – Caller ID & Block»); марка телефона и его операционная система (Samsung с Android 9); и список других пользователей, которые находились рядом с целью, когда те были дома и на работе.
Это делается путем злоупотребления онлайн-инструментом для показа рекламы в приложениях, известным как торги в реальном времени. Идея заключается в том, что если вы производитель виджетов, желающий продавать пользователям iPhone 15 в США, интересующимся автомобилями, вы можете конкурировать с другими рекламодателями, ищущими ту же аудиторию. Процесс торгов показывает, сколько пользователей доступно, соответствующих вашей целевой аудитории.
Проблема в том, что службы безопасности могут выдавать себя за рекламодателей, устанавливать чрезвычайно специфический набор критериев таргетинга — настолько специфический, что он позволит идентифицировать конкретных лиц — а затем получать большой объем конфиденциальных данных об этом человеке.
Исследование выявило 61 894 приложения для iOS, используемых таким образом — без их ведома. Виновником здесь является компания, стоящая за Patternz, а не разработчики приложений.
Push-уведомления iPhone используются как шпионский инструмент
Исследователи безопасности Mysk обнаружили, что push-уведомления iPhone злоупотребляются схожим образом.
iOS предоставляет приложениям фоновый режим для отправки вам push-уведомлений.
Это работает следующим образом: когда приложение получает push-уведомление, iOS активирует приложение в фоновом режиме и предоставляет ему ограниченное время для настройки уведомления перед его отображением пользователю. Это очень полезно для приложений, чтобы выполнять задачи, связанные с уведомлением, такие как расшифровка полезной нагрузки уведомления или загрузка дополнительного контента для дальнейшего обогащения уведомления перед его отображением пользователю. Как только приложение заканчивает настройку уведомления, iOS завершает его работу.
Но Mysk утверждает, что многие приложения злоупотребляют этим разрешением для фингерпринтинга вашего iPhone.
Однако многие приложения используют эту функцию как возможность отправлять подробную информацию об устройстве, работая тихо в фоновом режиме. Это включает: время работы системы, локаль, язык клавиатуры, доступную память, состояние батареи, модель устройства, яркость экрана и многое другое. Такие сигналы обычно используются для фингерпринтинга и отслеживания пользователей в различных приложениях, разработанных разными разработчиками. Фингерпринтинг строго запрещен на iOS и iPadOS.
В данном случае виновниками *являются* разработчики. Доказательства этого можно увидеть в видео ниже.
Google и Apple отвечают
Google заявил, что прекратил сотрудничество с одной компанией, использующей рекламу как инструмент фингерпринтинга, в то время как Apple планирует ввести новые меры защиты от злоупотребления push-уведомлениями.
Начиная с весны 2024 года Apple будет требовать от разработчиков указывать причины использования API, возвращающих уникальные сигналы устройства, такие как те, которые обычно используются для фингерпринтинга.
Фото: Дмитрий Ратушный на Unsplash