Tanto anúncios no aplicativo quanto notificações push estão sendo usados para identificar e espionar usuários do iPhone, de acordo com dois relatórios separados.
O primeiro diz que anúncios no aplicativo estão sendo usados para coletar dados destinados a identificar o seu iPhone e enviar dados altamente confidenciais para serviços de segurança, enquanto o segundo descobriu que aplicativos como Facebook e TikTok estão usando uma vulnerabilidade na forma como as notificações push são tratadas por iOS para obter os dados para uso próprio…
O problema da impressão digital do dispositivo
Quando a Apple mudou as regras, para exigir que os aplicativos solicitassem sua permissão antes de rastreá-lo, não demorou muito para que as empresas começassem a trabalhar em um método backdoor para conseguir a mesma coisa: impressão digital do dispositivo.
Chamamos a atenção para isso antes mesmo do lançamento do App Tracking Transparency. Em 2020, já alertávamos que os anunciantes haviam desenvolvido uma solução alternativa.
Em última análise, o mais recente passo de privacidade da Apple não fará muita diferença: já existe uma nova maneira de os anunciantes nos rastrearem, e há pouco que a Apple possa fazer sobre isso: impressão digital do dispositivo (…)
Sempre que você visita um site, seu navegador fornece uma série de dados destinados a garantir que o site seja exibido corretamente em seu dispositivo. Um site precisa ser exibido de maneira muito diferente em um iMac e em um iPhone, por exemplo.
Com o passar do tempo e os sites se tornarem mais sofisticados, a quantidade de dados que seu navegador entrega aumentou. Quando um site analisa todos dos dados disponíveis, as coisas ficam muito específicas, muito rápidas.
O objetivo da impressão digital do dispositivo é tentar identificar cada dispositivo único, atribuindo-lhe uma impressão digital do dispositivo. Isso pode então ser usado para rastreá-lo exatamente da mesma maneira que o IDFA.
Indicamos sites que você pode visitar para determinar se seu dispositivo pode ser identificado de forma exclusiva.
404 Mídia relata o Patternz, que descreve como “uma ferramenta global de espionagem telefônica que monitora bilhões (de pessoas)”.
Centenas de milhares de aplicativos comuns, incluindo alguns populares como 9gag, Kik e uma série de aplicativos de identificação de chamadas, fazem parte de uma capacidade de vigilância global que começa com anúncios dentro de cada aplicativo e termina com os usuários dos aplicativos sendo levados para dentro uma poderosa ferramenta de monitoramento em massa anunciada para agências de segurança nacional que pode rastrear a localização física, hobbies e familiares de pessoas para construir bilhões de perfis, de acordo com uma investigação da 404 Media.
Patternz fecha acordos com redes de publicidade menores, dispostas a se envolver em práticas duvidosas, para coletar impressões digitais de dispositivos e usá-las para acionar vigilância.
Embora o exemplo dado seja o de um usuário Android, a mesma tática funciona em dezenas de milhares de aplicativos para iPhone.
Ton reconhece que a plataforma foi construída como uma “plataforma de segurança interna”. Em outros materiais de marketing on-line, a Patternz se apresenta especificamente para “agências de segurança nacional”.
Em determinado momento do vídeo, Ton clica em um perfil específico. A próxima tela mostra muitas informações sobre aquele dispositivo específico e, por extensão, sobre a pessoa. Inclui uma longa lista de coordenadas GPS relacionadas a eles, com Ton dizendo que a precisão da localização pode chegar a um metro; a que endereço correspondiam essas coordenadas; os locais visitados com frequência pela pessoa, incluindo o endereço de casa e do trabalho (que para esse público-alvo é um hospital próximo, diz Ton); os aplicativos específicos utilizados pela pessoa (neste caso, “Caller ID & Block by CallApp” e “Truecall – Caller ID & Block”); a marca do telefone e seu sistema operacional (um Samsung com Android 9); e uma lista de outros usuários que estavam próximos ao alvo quando ele estava em casa e no trabalho.
Isso é feito abusando de uma ferramenta de anúncios online e no aplicativo conhecida como lance em tempo real. A ideia por trás disso é que se você é um fabricante de widgets que deseja vender para usuários do iPhone 15 nos EUA com interesse em carros, você pode competir com outros anunciantes que buscam o mesmo público. O processo de licitação revela quantos usuários estão disponíveis e correspondem ao seu público-alvo.
O problema é que os serviços de segurança podem fazer-se passar por licitantes de publicidade, introduzir um conjunto extremamente específico de critérios-alvo – tão específicos que identificarão indivíduos específicos – e depois obter uma vasta quantidade de dados sensíveis sobre essa pessoa.
O estudo identificou 61.894 aplicativos iOS sendo usados dessa forma – sem o seu conhecimento. O vilão aqui é a empresa por trás do Patternz, não os desenvolvedores de aplicativos.
Pesquisadores de segurança Mysk descobriu que as notificações push do iPhone estão sendo abusadas de maneira semelhante.
O iOS fornece uma maneira para que aplicativos em segundo plano enviem notificações push.
Funciona assim: quando um aplicativo recebe uma notificação push, o iOS ativa o aplicativo em segundo plano e permite um tempo limitado para personalizar a notificação antes que ela seja apresentada ao usuário. Isso é muito útil para que os aplicativos executem tarefas relacionadas à notificação, como descriptografar a carga útil da notificação ou baixar conteúdo adicional para enriquecer ainda mais a notificação antes que o iOS a apresente ao usuário. E assim que o aplicativo termina de personalizar a notificação, o iOS a encerra.
Mas Mysk diz que muitos aplicativos estão abusando desse privilégio para tirar impressões digitais do seu iPhone.
No entanto, muitos aplicativos estão usando esse recurso como uma oportunidade para enviar informações detalhadas do dispositivo enquanto são executados silenciosamente em segundo plano. Isso inclui: tempo de atividade do sistema, localidade, idioma do teclado, memória disponível, status da bateria, modelo do dispositivo, brilho da tela, para citar alguns. Esses sinais são comumente usados para impressões digitais e rastreamento de usuários em diferentes aplicativos desenvolvidos por diferentes desenvolvedores. A impressão digital é estritamente proibida no iOS e iPadOS.
Neste caso, os desenvolvedores são os culpados. Você pode ver a prova disso no vídeo abaixo.
Google e Apple respondem
O Google disse que encerrou seu relacionamento com uma empresa que usava anúncios como ferramenta de impressão digital, enquanto a Apple planeja introduzir novas proteções contra o uso indevido de notificações push.
A partir da primavera de 2024, a Apple exigirá que os desenvolvedores declarem os motivos para usar as APIs que retornam sinais exclusivos do dispositivo, como os comumente usados para impressão digital.
foto por Dmitry Ratushny sobre Remover respingo
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
