近日,安全研究人员Tommy Mysk曝光了一起关于iPhone应用推送通知数据传输的事件。部分开发者在iOS 10引入的自定义功能中“别有用心”,利用该功能进行隐蔽的数据传输。这些开发商包括TikTok、Facebook、Twitter、领英和必应等知名应用程序。
这一做法令人担忧的原因在于,它绕过了通常对后台活动施加限制的iOS系统保护措施。苹果一直严格控制后台运行的应用程序,以保护用户隐私并确保设备性能。然而,推送通知功能似乎无意中为这些应用程序提供了一个可以进行后台数据传输的后门。
被发送的数据类型包括可用于跨应用指纹识别(非传统意义的指纹识别)和跟踪用户独特设备信号。指纹识别是一种收集设备特定信息(如硬件和软件配置)以创建用户唯一标识符的方法,然后该标识符可用于跨不同应用程序追踪用户活动,并且可以用于定向广告等目的。
苹果不允许使用指纹识别技术,很快就会要求开发人员明确其应用程序为何需要访问用于指纹识别的API。此举符合苹果加强用户隐私的努力,例如在iOS 14.5版本中引入的App Tracking Transparency功能,该功能要求应用程序在跨其他公司应用程序和网站跟踪用户活动之前获得用户许可。