Via Push-Notifications: Verbreitete iOS-Apps greifen heimlich Gerätedaten ab
Dass Regierungsbehörden Push-Benachrichtigungen missbrauchen, um Smartphone-Nutzer zu überwachen, war erst im Dezember in den Fokus der Öffentlichkeit gelangt. Nun zeigt sich, dass auch namhafte Social-Media-Dienste wie Facebook, Instagram, TikTok, LinkedIn und X über Notifications allerhand Daten sammeln – zumindest unter iOS.
Missbrauch von Push-Benachrichtigungen
Auf den Missbrauch hingewiesen haben kürzlich die zwei iOS-Entwickler und Sicherheitsforscher Talal Haj Bakry und Tommy Mysk in einem neuen X-Beitrag. Um einen Missbrauch handelt es sich gerade deshalb, weil Apple Push-Benachrichtigungen unter iOS gar nicht für derartige Datensammelaktivitäten vorgesehen hat. Viele App-Entwickler greifen dafür aber wohl auf Notifications zurück, weil Apps unter iOS nicht dauerhaft im Hintergrund laufen dürfen.
Mit iOS 10 hat Apple jedoch eine Funktion eingeführt, die es Apps nach dem Empfang einer Push-Notification erlaubt, für eine kurze Zeit im Hintergrund aktiv zu werden. In dieser Zeit können Benachrichtigungsinhalte beispielsweise entschlüsselt, von einem Server nachgeladen oder anderweitig verarbeitet werden – so ist es zumindest vorgesehen. Im Grunde könne eine App nach Empfang einer Push-Benachrichtigung aber beliebigen Code ausführen, den der jeweilige Entwickler implementiert habe, heißt es in dem Beitrag von Mysk und Bakry.
Eine weitverbreitete Datensammelpraxis
Einige App-Anbieter würden die Rechenzeit missbrauchen, um detaillierte Gerätedaten zu sammeln und an die eigenen Server zu übermitteln, so die Forscher. Übertragen würden dabei unter anderem Informationen über die Systembetriebszeit, Spracheinstellungen, den verfügbaren Speicher, Batteriestatus, das Gerätemodell oder die Displayhelligkeit. Daten dieser Art würden häufig für das Fingerprinting und Tracking von Nutzern missbraucht. Fingerprinting sei jedoch unter iOS und iPadOS streng verboten.
„Es überrascht nicht, dass viele soziale Apps, die für ihre aggressive Datensammelpraxis berüchtigt sind, die durch Push-Benachrichtigungen eingeräumte Ausführungszeit im Hintergrund ausnutzen“, warnen die Forscher auf X. Die Häufigkeit, mit der Push-Notifications für das Sammeln von Gerätedaten missbraucht würden, sei verblüffend.
Wie das Sammeln der Geräteinformationen in der Praxis aussieht, demonstrieren die Forscher in einem sechsminütigen Video auf YouTube am Beispiel der iOS-Apps von TikTok, Facebook, X, LinkedIn und Bing. Aber auch der Facebook Messenger, Instagram und Threads sind wohl betroffen. Häufig kämen für die Datensammlung Dienste wie Google Analytics oder Firebase zum Einsatz, in einigen Fällen griffen die App-Anbieter aber auch auf eigene Lösungen zurück.
Besserung in Sicht – ab Frühjahr 2024
Um eine iOS-App daran zu hindern, auf diese Weise Daten zu sammeln, müssten die Push-Benachrichtigungen den Forschern zufolge vollständig deaktiviert werden. Besserung sei ab Frühjahr 2024 in Sicht, denn dann wolle Apple von Entwicklern verlangen, die Verwendung von APIs, die sich potenziell für Fingerprinting eignen, zu begründen.
Bakry und Mysk sind derweil keine Unbekannten. Das Forscherduo hatte schon im Oktober auf einen Fehler hingewiesen, der dazu führte, dass private MAC-Adressen unter iOS eben doch lange Zeit gar nicht so privat waren, wie Apple das einst vorgesehen hatte.