Програми для iPhone, зокрема Facebook, LinkedIn, TikTok і X (Twitter), оминають правила конфіденційності Apple і таємно збирають дані користувачів через оповіщення.

Програми для iOS не можуть працювати у фоновому режимі. З причин, пов'язаних в основному з конфіденційністю та продуктивністю, iOS припиняє і зрештою припиняє роботу будь-якої неактивної програми. Однак, починаючи з iOS 10 програми можуть налаштовувати свої push-сповіщення навіть тоді, коли вони не запущені. Цей механізм дозволяє iOS активувати програму у фоновому режимі і дає їй обмежений час для налаштування оповіщення.

Дослідники з'ясували, що розробники програм користуються цим вікном як можливістю отримати докладну інформацію про пристрій користувача. Ці дані включають тривалість роботи системи, мову клавіатури, доступну пам'ять, стан акумулятора, модель пристрою, яскравість дисплея тощо.

«Можливість виконувати завдання у фоновому режимі є золотою жилою для додатків, які потребують даних. Не дивно, що багато соціальних додатків, сумно відомих своєю агресивною практикою збору даних, використовують переваги фонового часу виконання, включеного push-повідомленнями. Насправді, розробники можуть використовувати цей обхідний шлях для запуску коду у фоновому режимі на вимогу. Все, що їм потрібно зробити, це надіслати push-повідомлення своїм користувачам. Як наслідок, iOS виводить програму з режиму сну у фоновому режимі на кожному пристрої, а потім програма запускає будь-який код, вбудований розробником у програму», - зазначають у Mysk.

Дослідники з'ясували, що практика прихованого збору даних через оповіщення є поширеною.

«Наші тести показують, що ця практика є більш поширеною, ніж ми очікували. Частота, з якою багато програм надсилають інформацію про пристрій після повідомлення, вражає. Деякі програми, такі як Facebook та TikTok, також надсилають дані під час очищення повідомлень у Центрі повідомлень», - зазначають фахівці.

Незабаром відбудуться зміни у правилах операційної системи iPhone, які, як зазначають дослідники, можуть покращити ситуацію, але незрозуміло, чи вирішать вони проблему. Починаючи з весни 2024 року, розробники додатків повинні будуть пояснювати, чому і як вони використовують певні API. Теоретично це може змусити компанії розкрити, чому вони стежать за користувачам і припинити стеження з незаконною метою, але гарантій цього немає.

"Погана новина полягає в тому, що незрозуміло, як Apple збирається це застосовувати", - сказав Томмі Міск, який проводив тести, у коментарі Gizmodo.

Представники Meta та LinkedIn у коментарях виданню категорично заперечували використання зібраних таким чином даних для реклами чи інших неналежних цілей. Представник LinkedIn сказав, що дані використовуються лише для забезпечення належної роботи повідомлень.

Це не вперше, коли тести Mysk виявляють проблеми з даними на пристроях Apple. У жовтні 2023 року Mysk виявила, що розхвалена функція iPhone, покликана захистити інформацію про адресу WiFi, не є такою конфіденційною, як обіцяє компанія. У 2022 році на Apple було подано більше дюжини колективних позовів після того, як у Mysk виявили, що компанія збирає дані про своїх користувачів навіть після того, як вони перемикають параметри конфіденційності iPhone, які обіцяють "повністю відключити спільний доступ до аналітики пристрою".