Menu
PT (BR)

TikTok, Meta, X e outras empresas exploram as notificações push no iOS para coletar dados

A Apple já deixou claro há muito tempo que o fingerprinting, uma atividade de rastreamento através de funcionalidades do hardware e de softwares de um dispositivo, é proibido em seus dispositivos. No entanto, alguns aplicativos populares encontraram uma brecha nessa proibição, aproveitando-se dela sem escrúpulos.

Tommy Mysk, pesquisador da área de privacidade, descobriu que vários aplicativos populares para iOS estão usando uma funcionalidade de notificação em push, introduzida pela primeira vez em 2016, para enviar dados detalhados sobre o dispositivo do usuário para o servidor de suas respectivas empresas.

Mysk explicou ter notado este padrão preocupante e aparentemente persistente ao examinar vários aplicativos de redes sociais, incluindo o TikTok, Facebook, FB Messenger, Instagram, Threads e X. Todos esses aplicativos se aproveitaram da funcionalidade que permite a customização de suas notificações de push, mesmo quando não estão sendo executados.

Essa funcionalidade não é por si só maliciosa e tem um propósito importante. Por exemplo, ela pode ser útil para aplicativos que precisam decodificar a carga útil de notificações ou fazer o download de conteúdo adicional para apresentar a notificação ao usuário. Quando um aplicativo recebe uma notificação em push, o iOS dá um sinal para que o aplicativo “acorde” e seja executado por um curto período de tempo. Durante este processo, o app pode fazer qualquer coisa que o desenvolvedor quiser, incluindo alterar a aparência da notificação. Este seria o propósito final da funcionalidade, mas o problema é que o aplicativo também consegue coletar dados ou enviar informações sobre o usuário nesse tempo.

Mysk observou que os aplicativos estudados aprenderam a tirar o máximo de proveito deste tempo de execução limitado, enviando os dados coletados para servidores remotos. O pesquisador chamou esta capacidade de executar o código em segundo plano de “mina de ouro para os apps desesperados por dados.”

Mas como isso tudo funciona, de acordo com Mysk?

  • O desenvolvedor do app cria um código a ser executado em segundo plano
  • O desenvolvedor envia uma notificação em push para o usuário do aplicativo. O push pode conter qualquer informação, seja uma notícia, o placar de uma partida de futebol ou uma nova solicitação de amizade
  • O dispositivo do usuário recebe a notificação em push, mas ela não é mostrada na tela ainda. O iOS reconhece que a notificação em push vem a partir do app da rede social e o ativa em segundo plano. O app está sendo executado, mas o usuário não consegue vê-lo ou interagir com ele
  • O aplicativo executa o código preparado pelo desenvolvedor em segundo plano. Por mais que isso possa ser inofensivo (por exemplo, o código pode ser usado para adicionar mais informações, inclusive imagens, à notificação), esse processo também pode ser usado para coletar dados do dispositivo do usuário e enviá-los aos servidores do desenvolvedor

Esse esquema pode dar aos desenvolvedores uma combinação única de informações sobre as características de software e hardware do dispositivo de um usuário.

Muitos aplicativos estão usando essa funcionalidade como uma oportunidade para enviar informações detalhadas sobre dispositivos enquanto são executados de forma silenciosa em segundo plano. Isso inclui: localização, tempo de atividade do sistema, idioma do teclado, memória disponível, status de bateria, modelo do dispositivo, iluminação do display etc.

Esses dados podem ser usados posteriormente para rastrear os usuários através dos aplicativos, afirma Mysk.

Que dados estão sendo coletados?

No vídeo em que descreve os exemplos deste truque, Mysk mostra os tipos de dados que podem ser coletados por empresas de redes sociais através de notificações em push. Esta coleta é feita tanto pelo próprio serviço da empresa ou com a ajuda de softwares de terceiros, como as ferramentas de analytics do Google, como o Google Analytics e o Firebase.

TikTok

No caso do TikTok, por exemplo, o aplicativo envia o tempo de boot do iPhond para os servidores remotos sempre que recebe uma notificação em push.

TikTok envia vários dados aos servidores externos

Isso significa que o TikTok sabe exatamente quando o usuário reiniciou o seu iPhone pela última vez. Se coletado após certo período de tempo, o horário da inicialização é capaz de revelar a frequência com que o usuário reinicia o seu iPhone, indicando o quanto ele é utilizado e o quanto o seu funcionamento está estável. Isso também pode ser utilizado para identificar o dispositivo do usuário ou para o rastreamento de sua atividade.

Quando o aplicativo do Facebook envia uma notificação em push para o mesmo dispositivo, o Facebook recebe os mesmos dados sobre a última vez que o iPhone foi inicializado.

Facebook

Como notou o pesquisador, isso pode facilitar o rastreamento do usuário em diferentes aplicativos. Isso porque o horário de inicialização pode ser utilizado como um identificador único para o dispositivo de um usuário. Se o mesmo dispositivo possui múltiplos aplicativos que coletam e enviam o horário de inicialização para servidores, os horários de inicialização podem ser comparados e linkados ao mesmo dispositivo. Assim, o comportamento e as preferências do usuário na Internet podem ser rastreados através de diferentes apps, mesmo que o usuário não use a mesma conta ou as mesmas informações de login em diferentes apps. Tudo isso faz com que a exploração das notificações em push por parte das empresas de redes sociais seja uma ameaça legítima à privacidade.

Além disso, Mysk chama atenção para o fato de que alguns aplicativos como o Facebook e o TikTok também enviam dados ao limpar suas notificações do centro de notificações, o que também é uma funcionalidade do iOS que oferece uma visão geral dos alertas de aplicativos.

Por exemplo, quando um usuário limpa uma notificação do Facebook, o app envia uma solicitação com informações detalhadas, incluindo dados sobre memória disponível, último evento do aplicativo (como curtir um post, por exemplo), o tempo passado desde o último evento, o ID do usuário (capaz de identificar a sua conta no Facebook), o tamanho do conteúdo preferido, o timestamp (a data e o horário exato) em que a notificação foi eliminada, o tipo de conexão e assim por diante.

Quando um usuário limpa uma notificação do Facebook, o aplicativo envia informações detalhadas sobre o usuário para servidores externos

O Twitter (X) lida com a coleta de dados de usuários mais ou menos da mesma forma que o Facebook e o TikTok.

X/Twitter

Todas as três empresas estão utilizando o Firebase, um serviço oferecido pelo Google, aponta Mysk, adicionado que “a frequência com a qual muitos aplicativos enviam informações de dispositivos após uma notificação é surpreendente.”

Nova regra da Apple para desenvolvedores: o que vai mudar?

Mysk acredita que as novas regras para desenvolvedores da Apple podem ser positivas. Elas serão colocadas em prática ainda na primeira metade deste ano e definem que os desenvolvedores de aplicativos terão que justificar por que seus aplicativos precisam usar certas APIs. APIs são métodos usados por diferentes aplicativos para comunicar e compartilhar dados.

Os desenvolvedores terão que explicar por que precisam acessar informações de aplicativos não apenas a partir de seu código, mas também das SDKs (kits de desenvolvimento de software) que adicionem aos seus aplicativos. Tanto apps, quanto SDKs de terceiros terão que justificar um ou mais “motivos aprovados” pelos quais precisam acessar informações de dispositivos através de APIs em documentos chamados “manifestos de privacidade.” Estes motivos deveriam ser “consistentes com a funcionalidade do aplicativo.” Nós escrevemos uma avaliação detalhada das novas exigências da Apple para desenvolvedores em Agosto, você pode lê-la aqui.

Mas a questão é a seguinte: isso impedirá que as empresas coletem dados de aplicativos através de notificações de push? Em teoria, sim, mas apenas se a Apple levar a sério essas novas regras, monitorando a adoção ou não por parte dos aplicativos. E não há como ter certeza disso.

Nós acreditamos que as novas regras irão melhorar a situação, mas até que ponto? Essa é uma questão difícil e pode ter várias respostas. Os desenvolvedores terão que levar em conta as novas regras, então existe a possibilidade de que tentarão seguí-las de boa vontade. No entanto, os serviços que estão mais determinados em continuar com a coleta de dados provavelmente vão optar por aceitar os riscos. Nestes casos, identificar estes aplicativos será tarefa da Apple.

De qualquer forma, esperamos que a Apple adote uma postura mais proativa e transparente diante da privacidade. Caso contrário, a privacidade dos usuários continuará ameaçada.

Gostou deste post?

AdGuard para Windows

AdGuard para Windows é mais do que um bloqueador de anúncios. É uma ferramenta multiusos que bloqueia anúncios, controla o acesso a sites perigosos, acelera o carregamento de páginas e protege as crianças de conteúdos impróprios.
Revisões: 14212
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

AdGuard para Mac

Ao contrário de outros bloqueadores de anúncios, o AdGuard foi projetado pensando nas especificações do macOS. Não só fornece defesa contra anúncios no Safari e outros navegadores, mas também lhe protege contra rastreamento, phishing e fraudes.
Revisões: 14212
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

AdGuard para Android

AdGuard para Android é a solução ideal para dispositivos móveis Android. Ao contrario dos outros bloqueadores de anúncios, o AdGuard não requer acesso ao usuário root e oferece uma ampla gama de recursos: filtragem em aplicativos, gerenciamento de aplicativos e muito mais.
Revisões: 14212
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença

AdGuard para iOS

O bloqueador de anúncios mais avançado para o Safari: faz esquecer os anúncios pop-up, acelera o carregamento de páginas, e protege os seus dados pessoais. Uma ferramenta manual de bloqueio de elementos e configurações altamente personalizáveis ajudam-no a adaptar a filtragem às suas necessidades exactas.
Revisões: 14212
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença

Extensão de navegador AdGuard

O AdGuard tem a extensão de bloqueio de anúncios mais leve, rápida e que efetivamente bloqueia todos os tipos de anúncios em todas as páginas da internet! Escolha o AdGuard para o navegador que você usa e obtenha uma navegação gratuita, rápida e segura.
Revisões: 14212
4,7 de 5

AdGuard para Safari

As extensões de bloqueio de anúncios para o Safari estão enfrentando dificuldades desde que a Apple começou a forçar o uso do novo SDK para todos. A extensão AdGuard deve trazer de volta a alta qualidade de bloqueio de anúncio para o Safari.
Revisões: 14212
4,7 de 5
App Store
Baixar
Ao baixar o programa, você aceita os termos do Contrato de licença

AdGuard Home

O AdGuard Home é um servidor de DNS para bloqueio de anúncios e rastreamento em toda a rede. Depois de configurá-lo, ele abrange TODOS os seus dispositivos domésticos e você não irá precisar de nenhum programa instalado. Com o surgimento da Internet das coisas e dispositivos conectados, torna-se cada vez mais importante poder controlar toda a sua rede.
Revisões: 14212
4,7 de 5

Bloqueador de conteúdo do AdGuard

O Bloqueador de Conteúdo do AdGuard elimina todos os anúncios em navegadores para dispositivos móveis que ofereçem suporte a tecnologia para bloqueio de conteúdo — ou seja Samsung Internet e Yandex Browser. Embora seja mais limitado do que o AdGuard para Android, ele é gratuito, fácil de instalar e ainda oferece alta qualidade de bloqueio de anúncios.
Revisões: 14212
4,7 de 5
Ao baixar o programa, você aceita os termos do Contrato de licença
Leia mais

Assistente do AdGuard

Uma extensão complementar para o AdGuard aplicativos para computador. Oferece acesso no navegador a funcionalidades tais como bloqueio de elementos personalizados, lista de permissões ou envio de um relatório de erro.
Revisões: 14212
4,7 de 5
Assistente para Chrome Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Firefox Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Edge Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Opera Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Yandex Este é o seu navegador atual?
Instalar
Ao baixar o programa, você aceita os termos do Contrato de licença
Assistente para Safari Este é o seu navegador atual?
Se você não sabe qual é o seu navegador, tente a antiga versão antiga do Assistente, que você pode encontrar nas configurações da extensão do AdGuard.

AdGuard Temp Mail β

Um gerador de endereços de e-mail temporário gratuito que mantém você anônimo e protege sua privacidade. Nada de spam na sua caixa de entrada principal!
Revisões: 14212
4,7 de 5

AdGuard para Android TV

O AdGuard para Android TV é o único aplicativo que bloqueia anúncios, protege sua privacidade e atua como firewall na sua Smart TV. Receba avisos sobre ameaças da Web, use DNS seguro e aproveite o tráfego criptografado. Relaxe e assista suas séries favoritas com segurança de alto nível e zero anúncios!
Revisões: 14212
4,7 de 5
Baixando o AdGuard Clique no botão indicado pela seta para iniciar a instalação Selecione "Abrir" e clique em "OK", e então aguarde o download do arquivo. Na janela aberta, arraste o ícone do AdGuard para a pasta "Aplicativos". Obrigado por escolher o AdGuard! Selecione "Abrir" e clique em "OK", depois aguarde o download do arquivo ser finalizado. Na janela aberta, clique em "Instalar". Obrigado por escolher o AdGuard!
Instale o AdGuard no seu dispositivo móvel