Un investigador de seguridad llamado Tommy Mysk ha demostrado que aplicaciones populares pueden usar las notificaciones push del iPhone para enviar de manera encubierta datos sobre el usuario.
Mysk describe la práctica en un vídeo, en el que destaca que ciertas apps de iOS explotan una característica introducida en iOS 10, la cual está diseñada para permitir que las aplicaciones personalicen las notificaciones automáticas.
Dicha función, que originalmente se ideó para facilitar que las apps enriquezcan las notificaciones con contenido adicional o descifren mensajes cifrados, ha sido usada aparentemente por algunos desarrolladores para actividades más secretas.
El investigador ha encontrado que varias aplicaciones sociales como TikTok, Facebook, Twitter (X), Linkedin o incluso la del buscador Bing usan el corto tiempo de ejecución en segundo plano otorgado para la personalización de las notificaciones para enviar información analítica.
Según se hace eco la web MacRumors, esta práctica sería particularmente preocupante porque elude las restricciones típicas impuestas por iOS a las actividades de las apps en segundo plano.
La compañía de Cupertino siempre ha mantenido un control estricto sobre estas herramientas con el fin de proteger la privacidad de los usuarios y garantizar un rendimiento óptimo de los dispositivos. Pero las notificaciones push, de forma involuntaria, habría proporcionado una puerta trasera para transmitir datos.
Cómo espían a los usuarios
El tipo de datos que se envían incluiría señales únicas del dispositivo que se pueden utilizar para tomar huellas digitales y rastrear a los usuarios en diferentes aplicaciones.
La toma de huellas dactilares es un método para recopilar información específica sobre un dispositivo, como sus configuraciones de hardware y software, para crear un identificador único.
Dicho identificador se puede utilizar a posteriori para rastrear las actividades del usuario en diferentes aplicaciones, sirviendo para diversas actividades, como publicidad dirigida.
Hay que tener en cuenta que Apple no permite la toma de huellas digitales y pronto requerirá que los desarrolladores indiquen explícitamente por qué sus app necesitan acceso a las API que a menudo se utilizan para esta toma. La medida está en línea con los esfuerzos de Apple para fortalecer la privacidad del usuario, como la introducción de App Tracking Transparency en iOS 14.5.