Apple App背景資料遭濫用?推播通知成為資安風險焦點
編譯/Cynthia
最新研究發現,許多iOS應用程式最近被揭露以出乎意料的方式,濫用推播通知,背後暗中蒐集使用者裝置資料,可能違反隱私原則,引起廣泛關注。研究者Mysk指出,這些應用程式繞過Apple的背景應用程式活動限制,對iPhone使用者構成潛在的隱私風險。Apple應用商店明確表示,應用程式不應暗中建立使用者檔案,更不能鼓勵他人以匿名資訊或Apple API資料重建使用者檔案。
iOS 背景應用程式濫用現象浮出水面
Apple原本設計iOS系統不允許應用程式在背景執行,以避免資源浪費和提升安全性。自iOS 10起,Apple引入新系統,允許應用程式在背景啟動處理推播通知。儘管原主要在通知顯示前解密資料並終止應用程式,研究發現許多應用程式卻將此視為機會,濫用傳送裝置資料到伺服器,包括系統運行時間、地區、鍵盤語言等,這種濫用比預期更普遍,牽涉眾多大型應用程式。
更多新聞:API運用廣泛 已成數位世界新威脅
資料濫用背後的動機
這些應用程式通常透過Google Analytics、Firebase或自家系統,推播通知後頻繁傳送裝置資訊至伺服器。Mysk測試顯示TikTok、Facebook、X(Twitter)、LinkedIn和Bing等知名應用程式在此濫用上頻繁,可能違反Apple在iOS上的嚴格標準,將這些資料應用於製作裝置指紋檔案,實現對使用者的持續追蹤,而這在iOS上明確被禁止。
Apple宣布強化限制,預防進一步濫用
面對這些問題,Apple宣布將於2024年春季強化對API濫用的限制,要求應用程式清楚聲明使用可能被濫用的API目的。這些API用於取得裝置資訊,包括磁碟空間、系統啟動時間等。未來,未明確聲明使用目的的應用程式將被拒絕進入Apple應用商店,此舉主要在加強對推播通知濫用的管控,保障使用者隱私和數位環境的安全。
挑戰科技公司的隱私守護者
在此之前,希望保護隱私的iPhone使用者可暫時停用推播通知,但通知靜音仍無法阻止濫用行為。這項發現再次顯示科技公司需要持續努力保護使用者隱私的迫切性,以確保數位環境的安全性和可信賴性。
資料來源:BleepingComputer
瀏覽 362 次
