Biztonsági kutatók: kémkedhet az Apple

Biztonsági kutatók szerint az iOS-t úgy programozták, hogy részletes naplókat küldjön a felhasználók ténykedéseiről az Apple-nek. Mindez arra szolgál, hogy a vállalat – legutóbbi kampányának részeként – célzott hirdetéseket jeleníthessen meg az App Store-ban.

Tommy Mysk és Talal Haj Bakry, a Mysk szoftvercég két alkalmazásfejlesztője, biztonsági szakembere különféle iPhone-os alkalmazások (App Store, Apple Music, Apple TV, Books, Stocks) által összegyűjtött adatokat vizsgáltak.

A legdurvább talán az App Store esete: a szakemberek szerint úgy tűnik, hogy az App Store-ban végzett műveleteket valós időben rögzítik, beleértve azt, hogy a felhasználó mire kattintott, milyen alkalmazásokat keresett, milyen hirdetéseket látott, mennyi ideig nézett egy adott alkalmazást, és hogyan fedezte fel azt. Az Apple által használt szoftver emellett információkat továbbított a felhasználó eszközéről, például a használt telefon típusát, a kijelző felbontását, az internethez való csatlakozás módját.

������
1/5
The recent changes that Apple has made to App Store ads should raise many #privacy concerns. It seems that the #AppStore app on iOS 14.6 sends every tap you make in the app to Apple.������This data is sent in one request: (data usage & personalized ads are off)#CyberSecurity pic.twitter.com/1pYqdagi4e

— Mysk ������������������������ (@mysk_co) November 3, 2022

„A személyre szabási opciókba való beavatkozás nem csökkentette az alkalmazás által küldött adatok mennyiségét” – állítja Mysk, hozzátéve, hogy hiába kapcsolt ki minden lehetséges opciót, beleértve a személyre szabott hirdetéseket, ajánlásokat, valamint a használati adatok és elemzések megosztását.

A Gizmodo azt kérte, hogy Mysk vizsgáljon meg összehasonlítás céljából néhány más Apple-alkalmazást is. A kutatók elmondták, hogy például a Health és a Wallet alkalmazások egyáltalán nem továbbítottak analitikai adatokat, függetlenül attól, hogy az iPhone Analytics beállítása be van-e kapcsolva, viszont az Apple Music, az Apple TV, a Books, az iTunes Store és a Stocks mind megtette. A kutatók megállapították, hogy az analitikai adatokat küldő alkalmazások többsége konzisztens azonosítószámokat osztott meg, ami lehetővé tette az Apple számára, hogy nyomon kövesse a felhasználó tevékenységét a szolgáltatásaiban.

A kutatók két különböző eszközön is ellenőrizték az állításukat. Először egy feltört iPhone-t használtak, amely iOS 14.6-ot futtatott, és lehetővé tette számukra a forgalom visszafejtését és annak megvizsgálását, hogy pontosan milyen adatokat küld el.  (Az Apple még az iOS 14.5-ben vezette be az App Tracking Transparencyt.)

Nagyon fontos, melyik gombra nyom a kérdésnél, amely ezután minden iPhone-on fölugrik

Az iPhone-okon és iPadeken a múlt hét óta elérhető rendszerfrissítéssel oda szúrt az Apple, ahol sokaknak a legjobban fáj. A hipertargetált reklámokból élő cégek, mint amilyen például a Facebook vagy a Google, kénytelenek lesznek újragondolni stratégiájukat.

Ezután egy érintetlen iPhone-t is megvizsgáltak, amelyen iOS 16, a legújabb operációs rendszer fut, ami megerősítette az eredményeket – az iOS 16-on is azt látták, hogy ugyanazok az alkalmazások hasonló adatcsomagokat küldenek ugyanarra az Apple-webcímre. Az adatok egy időben, azonos körülmények között kerültek továbbításra, és az elérhető adatvédelmi beállítások be- és kikapcsolása semmit sem változott. A kutatók nem tudták pontosan megvizsgálni, hogy milyen adatokat küldtek el, mert a telefon titkosítása érintetlen maradt, de a hasonlóságok arra utalnak, hogy mindez az iPhone szokásos viselkedése lehet.

Az Apple még nem reagált a vádakra.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.