In einem Beitrag via X (ehemals Twitter) weisen Sicherheitsforscher darauf hin, dass bekannte Apps Geräte-Daten ausspähen, indem die Push-Mitteilungen des Smartphones genutzt werden. Das Ganze gilt für iOS-Geräte, also iPhones. Zu den gesammelten Daten zählen unter anderem die Spracheinstellungen, aber auch der Batteriestatus oder das Gerätemodell. Welche Apps die kleine, legale Lücke ausnutzen, verrät dieser Artikel.
Wer auf seinem iPhone ein paar bestimmte Apps installiert hat, muss offenbar damit leben, dass Gerätedaten an die jeweiligen App-Anbieter übermittelt werden. Das ist zumindest dann der Fall, wenn es zu Push-Nachrichten kommt.
Sicherheitsforscher haben darauf hingewiesen, dass diese Ausnutzung der Push-Benachrichtigungen möglich ist und auch von vielen App-Entwicklern entsprechend genutzt wird.
Wie können im Hintergrund Daten übermittelt werden?
Eigentlich sollten alle unsere Daten geschützt sein, wenn wir einer Übermittlung nicht separat und direkt zustimmen. Bei diesem Missbrauch geht es allerdings um die Notifications und darum, dass die Apps eine Art legale Lücke ausnutzen.
Normalerweise ist es in iOS so, dass keine Hintergrundprozesse erlaubt werden. Wenn aber seit dem Update auf iOS 10 eine Push-Nachricht auf das Gerät eingeht (sowohl iPhone als auch iPad), dann sind nach dem Empfang für eine begrenzte Zeit Hintergrundprozesse erlaubt. Das ist nötig, um den Inhalt der Benachrichtigung zu verarbeiten.
Durch diese Ausführungszeit können Push-Benachrichtigungen durch App-Entwickler allerdings auch ausgenutzt werden. Im Hintergrund kann die kurze Zeit also auch für andere Zwecke genutzt werden, wie das Sammeln von genauen Daten:
- Betriebszeit des Systems
- Spracheinstellungen
- verfügbarer Speicherplatz
- Status der Batterie
- genaues Gerätemodell
- Helligkeit des Displays
Sobald eine Push-Nachricht auf dem iOS-Gerät eintrudelt, ist also im Hintergrund ein kurzzeitiges „Aufwecken“ der App möglich. Entwickler können hier aber im Hintergrund beliebigen Code ausführen, was dazu führt, dass die Daten gesammelt werden können, wenn eine Push-Nachricht auf dem Gerät eingeht.
Was haben die Entwickler von den gesammelten Daten?
Vielleicht möchte man meinen, dass es nicht weiter bedenklich ist, dass diese Daten gesammelt werden können. Den Forschern zufolge ist es aber möglich, Nutzerprofile durch die Daten zu erstellen. Durch dieses sogenannte Fingerprinting wäre es möglich, die Anwender zu tracken. Unter iOS und auch iPadOS ist diese Praxis allerdings verboten, dennoch zeigen die Forscher in einem YouTube-Video, wie einfach es ist, die Daten zu sammeln. Das machen Entwickler sicherlich nicht ohne Grund.
Die Forscher warnen in ihrem Beitrag auch davor, wie häufig dieses Ausspähen tatsächlich praktiziert wird. Um das Datensammeln zu verhindern, gibt es im Moment tatsächlich nur einen Weg: Push-Benachrichtigungen der jeweiligen Apps vollständig deaktivieren.
Welche Apps sammeln die Push-Daten?
Vor allem viele große und bekannte Apps sind schon „entlarvt“, wenn es darum geht, dass sie über Push-Benachrichtigungen Daten der Nutzer sammeln.
Apple hat allerdings bereits reagiert und angekündigt, dass im Frühjahr 2024 eine Neuerung für Entwickler anstehen würde, bei denen sie explizit angeben müssen, zu welchem Zweck sie die API nutzen, wenn sich diese für das oben erwähnte Fingerprinting eignet. Somit müssen sich die Entwickler der Apps zumindest in gewisser Form dafür rechtfertigen, warum sie es tun.
Hier noch eine Liste der Apps, von denen die Push-Taktik bis jetzt bekannt ist:
- TikTok
- Messenger
- Threads
- Bing
- X (Twitter)
- Bing
Hier die vollständige Meldung von Mysk via X/Twitter:
🚨🎬 Privacy Concerns about Apple Push Notifications
TL;DR: data-hungry apps use push notifications as a trigger to send app analytics and device information to their remote servers, even if the apps aren't running at all on your iPhone. Such apps include TikTok, Facebook, FB… pic.twitter.com/qyFDbmrBjq
— Mysk 🇨🇦🇩🇪 (@mysk_co) January 25, 2024
Quelle: X/Twitter
