De nombreuses applications iOS utilisent des processus d’arrière-plan déclenchés par des notifications push pour collecter des données utilisateur sur les appareils, permettant potentiellement la création de profils d’empreintes digitales utilisés pour le suivi.
Selon le chercheur mobile Mysk, qui a découvert cette pratique, ces applications contournent les restrictions d’activité des applications en arrière-plan d’Apple et constituent un risque pour la vie privée des utilisateurs d’iPhone.
« Les applications ne doivent pas tenter de créer subrepticement un profil d’utilisateur sur la base des données collectées et ne doivent pas tenter, faciliter ou encourager d’autres personnes à identifier des utilisateurs anonymes ou à reconstruire des profils d’utilisateurs sur la base des données collectées à partir des API fournies par Apple ou de toute donnée que vous dites avoir été collectée de manière » anonyme », « agrégée » ou autrement non identifiable », lit-on dans une section des directives d’examen de l’App Store d’Apple.
Après avoir analysé quelles données sont envoyées par les processus d’arrière-plan iOS lors de la réception ou de l’effacement des notifications, Mysk a constaté que la pratique était beaucoup plus répandue qu’on ne le pensait auparavant, impliquant de nombreuses applications avec une base d’utilisateurs considérable.
Réveillez-vous et collectez des données
Apple a conçu iOS pour ne pas autoriser les applications à s’exécuter en arrière-plan afin d’éviter la consommation de ressources et pour une meilleure sécurité. Lorsqu’ils n’utilisent pas une application, ils sont suspendus et éventuellement résiliés, de sorte qu’ils ne peuvent pas surveiller ou interférer avec les activités de premier plan.
Dans iOS 10, cependant, Apple a introduit un nouveau système qui permet aux applications de se lancer tranquillement en arrière-plan pour traiter les nouvelles notifications push avant que l’appareil ne les affiche.
Le système permet aux applications qui reçoivent des notifications push de déchiffrer la charge utile entrante et de télécharger du contenu supplémentaire à partir de leurs serveurs pour l’enrichir avant qu’il ne soit servi à l’utilisateur. Une fois ce processus terminé, l’application est à nouveau terminée.
Grâce à des tests, Mysk a constaté que de nombreuses applications abusent de cette fonctionnalité, la traitant comme une fenêtre d’opportunité pour transmettre des données sur un appareil à leurs serveurs. Selon l’application, cela inclut la disponibilité du système, les paramètres régionaux, la langue du clavier, la mémoire disponible, l’état de la batterie, l’utilisation du stockage, le modèle de l’appareil et la luminosité de l’écran.
Le chercheur pense que ces données peuvent être utilisées pour les empreintes digitales/le profilage des utilisateurs, permettant un suivi persistant, ce qui est strictement interdit dans iOS.
« Nos tests montrent que cette pratique est plus courante que prévu. La fréquence à laquelle de nombreuses applications envoient des informations sur l’appareil après avoir été déclenchées par une notification est époustouflante », explique Mysk dans un post sur Twitter.
Musk a créé la vidéo suivante montrant l’échange de trafic réseau lors de la réception des notifications push par TikTok, Facebook, X (Twitter), LinkedIn et Bing.
Il a été constaté que les applications envoyaient un large éventail de données sur les appareils à leurs serveurs à l’aide de services tels que Google Analytics, Firebase ou leurs propres systèmes propriétaires.
Breachtrace a contacté Microsoft, X, Apple, TikTok et LinkedIn au sujet de leurs applications récupérant les données des utilisateurs, mais aucune réponse n’était immédiatement disponible.
Atténuer le problème
Apple comblera l’écart et empêchera d’autres abus des réveils de notification push en resserrant les restrictions sur l’utilisation des API pour les signaux des appareils.
Mysk a déclaré à Breachtrace qu’à partir du printemps 2024, les applications devront déclarer précisément pourquoi elles doivent utiliser des API qui peuvent être utilisées abusivement pour les empreintes digitales.
Ces API sont utilisées pour récupérer des informations sur un périphérique, telles que son espace disque, l’heure de démarrage du système, les horodatages des fichiers, les claviers actifs et les paramètres par défaut de l’utilisateur.
Si les applications ne déclarent pas correctement leur utilisation de ces API et à quoi elles servent, Apple indique qu’elles seront rejetées de l’App Store.
Jusqu’à ce que cela se produise, les utilisateurs d’iPhone qui souhaitent échapper à cette empreinte digitale doivent désactiver entièrement les notifications push. Malheureusement, rendre les notifications silencieuses n’empêchera pas les abus.
Pour désactiver les notifications, ouvrez « Paramètres », accédez à « Notifications », sélectionnez l’application pour laquelle vous souhaitez gérer les notifications et appuyez sur la bascule pour désactiver « Autoriser les notifications ».’
En décembre, il a été révélé que les gouvernements demandaient des enregistrements de notifications push envoyés via les serveurs d’Apple et de Google afin d’espionner les utilisateurs.
Apple a déclaré que le gouvernement américain leur avait interdit de partager toute information sur ces demandes et a depuis mis à jour ses rapports de transparence.