نقص امنیتی بزرگ آیفون اطلاعات محرمانه را فاش می‌کند

تامی میسک، محقق امنیتی، نشان داده است که پوش نوتیفیکیشن گوشی آیفون توسط برنامه‌های محبوب برای استخراج مخفیانه‌ی اطلاعات مربوط به کاربر استفاده می‌شود.

میسک در یک ویدیوی جدید در یوتیوب نشان داد که چگونه برخی از برنامه‌های iOS از یک ویژگی معرفی‌شده در iOS 10 استفاده می‌کنند که به برنامه‌ها اجازه می‌دهد پوش نوتیفیکیشن را سفارشی کنند.

ویژگی موردبحث که در ابتدا به منظور اجازه‌‌دادن به برنامه‌ها برای استفاده از اعلان‌ها یا رمزگشایی پیام‌های رمزنگاری‌شده در نظر گرفته شده بود، توسط برخی از توسعه‌دهندگان برای فعالیت‌های مخفیانه‌تر تغییر کاربری داده شده است.

بر اساس یافته‌های میسک، برنامه‌های محبوب مختلفی از جمله تیک‌تاک، فیسبوک، ایکس (توییتر سابق)، لینکدین و بینگ از زمان کوتاهی که برای اجرا در پس‌زمینه و سفارشی‌سازی اعلان‌ها دارند، برای ارسال داده‌های تحلیلی استفاده می‌کنند.

وضعیت فعلی نگران‌کننده است؛ زیرا محدودیت‌های اعمال‌شده توسط iOS در فعالیت‌ برنامه‌های پس‌زمینه را دور می‌زند. اپل برای محافظت از حریم خصوصی کاربران و اطمینان از عملکرد بهینه‌ی دستگاه، همیشه کنترل دقیقی بر برنامه‌های در حال اجرا در پس‌زمینه داشته است.

ظاهرا ویژگی پوش نوتیفیکیشن به طور ناخواسته راهی برای برنامه‌ها به‌منظور انتقال داده‌ها در پس‌زمینه ایجاد کرده است. نوع داده‌های ارسالی شامل سیگنال‌های خاص مربوط‌به دستگاه است که می تواند برای «انگشت‌نگاری» و ردیابی کاربران در برنامه‌های مختلف استفاده شود.

انگشت‌نگاری روشی برای ایجاد شناسه‌ی مخصوص کاربر ازطریق جمع‌آوری اطلاعات سخت‌افزاری و نرم‌افزاری دستگاه است. می‌توان از این شناسه برای ردیابی فعالیت‌های کاربر در برنامه‌های مختلف و نمایش تبلیغات هدفمند استفاده کرد.

اپل اجازه‌ی انگشت‌نگاری را نمی‌دهد و به زودی از توسعه‌دهندگان می‌خواهد که به صراحت دلیل نیاز برنامه‌هایشان به API-هایی را که اغلب برای انگشت‌نگاری استفاده می‌شوند، اعلام کنند. این حرکت در راستای تلاش‌های اپل برای تقویت حریم خصوصی کاربران است.