Nem először vizsgálják az iPhone-os alkalmazásokat a Mysk alkalmazásfejlesztő cég szakemberei. Pár éve például azt jelezték, hogy probléma lehet a vágólapra került tartalmakkal, azután megvádolták az Apple-t, hogy saját alkalmazásain keresztül gyűjt részletes információkat a felhasználóról, 2022-ben pedig több mint egy tucat csoportos kereset indult az Apple ellen, miután több amerikai lap beszámolt a Mysk azon megállapításáról, miszerint az Apple még azután is gyűjt adatokat, miután a felhasználó „teljesen letiltja az eszközelemzési adatok megosztását”. Pár hónapja az iOS 17 esetében fedtek fel egy, az adatvédelem szempontjából megkérdőjelezhető lépést.

Legutóbbi eredményük is aggasztó. Tesztjeik szerint az iPhone-alkalmazások, köztük a Facebook, a LinkedIn, a TikTok és az X/Twitter megkerülik az Apple adatvédelmi szabályait, hogy értesítéseken keresztül gyűjtsenek felhasználói adatokat. A kutatók szerint ezek az adatok nem szükségesek az értesítések feldolgozásához, és úgy tűnik, hogy az elemzéshez, a reklámozáshoz és a felhasználók követéséhez kapcsolódnak különböző alkalmazásokban és eszközökön. Néhány érintett vállalat szerint azonban ezek az eredmények pontatlanok.

Az alkalmazások általában lehetőséget találnának arra, hogy adatgyűjtést végezzenek, de „meglepődtünk, amikor megtudtuk, hogy ezt a gyakorlatot milyen széles körben teszik” – idézi a Gizmodo Tommy Myskot, aki Talal Haj Bakryval együtt végezte a teszteket.

„Ki gondolta volna, hogy egy olyan ártalmatlan művelet, mint egy értesítés elutasítása, sok egyedi eszközinformációt küld el távoli szerverekre?”

A tesztek például azt mutatták, hogy amikor valaki kapcsolatba lép egy Facebook-értesítéssel, akkor az alkalmazás összegyűjti az IP-címet, a telefon újraindítása óta eltelt ezredmásodperceket, a telefon szabad memóriaterületét és számos egyéb adatot. Az ilyen adatok kombinálása elegendő egy személy nagy pontosságú azonosításához. A tesztben részt vevő többi alkalmazás is hasonló információkat gyűjtött. Kimutatták például, hogy a LinkedIn értesítéseket használ annak megállapítására, hogy a felhasználó melyik időzónában tartózkodik, milyen a kijelző fényereje és milyen mobilszolgáltatója van. Mysk szerint a LinkedIn egy sor egyéb olyan információt is gyűjt, amelyek kifejezetten a hirdetési kampányhoz kapcsolódnak. Azt azért érdemes megjegyezni, hogy attól, hogy egy alkalmazás össze tudja gyűjteni ezeket az információkat, még nem biztos, hogy fel is használja azokat.

Átcsúszott az App Store szűrőjén egy kártékony app, és miután kiderült, akkor állította ki az Apple magáról a bizonyítványt

Az Apple mobilos alkalmazásboltja, az App Store híres arról, hogy csak szigorú ellenőrzések után enged be a kínálatába egy applikációt - ám volt egy rés a rostán, amelyen át tudott csúszni egy kártékony program.

Mondhatnánk, hogy ezek az adatok nem különösebben érzékenyek az olyan dolgokhoz képest, mint például a helyadatok, de hirdetési és egyéb célokra értékesek – magyarázza a Gizmodo. A cégek tudják, mit csinál a felhasználó az alkalmazásaikkal, de azt nem mindig tudják, hogy valójában ki ő, és az adatok sokkal kevésbé hasznosak, ha nem tudni, kié. Ha pedig a vállalat nem tudja azonosítani a felhasználót, nem tudja megcélozni személyre szabott hirdetésekkel.

Az Apple egy speciális hirdetési azonosító számot biztosít, amely kifejezetten az adatgyűjtés és a célzott hirdetések megkönnyítésére szolgál, de az olyan beállítások, mint például az „Ask App Not To Track” , blokkolják ezt a hirdetésazonosítót. Elméletileg ennek meg kell akadályoznia a vállalatokat abban, hogy összekapcsolják a felhasználóval és a viselkedésével kapcsolatos információkat a különböző alkalmazásokból és az internet más részeiből. De a fent említett adatgyűjtés a értesítésekből, egy alattomos módszer a folytatásra. A kutatók szerint ez egy széles körben elterjedt probléma, amely az iPhone ökoszisztémáját sújtja.

Érdemes megjegyezni, hogy amikor például a Mysk tesztelte a Gmailt és a YouTube-ot, az alkalmazások csak olyan adatokat gyűjtöttek, amelyek nyilvánvalóan az értesítések feldolgozásához kapcsolódnak. Mysk szerint ha egy olyan cég, mint a Google, tud értesítést küldeni anélkül, hogy más részletre is kíváncsi volna, az arra utal, hogy mások is meg tudnák oldani, ha akarnák – tehát a kutatók által észlelt, pellengérre állított adatgyűjtésnek hátsó szándékai lehetnek.

Átcsúszott az App Store szűrőjén egy kártékony app, és miután kiderült, akkor állította ki az Apple magáról a bizonyítványt

Az Apple mobilos alkalmazásboltja, az App Store híres arról, hogy csak szigorú ellenőrzések után enged be a kínálatába egy applikációt - ám volt egy rés a rostán, amelyen át tudott csúszni egy kártékony program.

A szakemberek arra is felhívták a figyelmet arra, hogy az Apple speciális szoftvert biztosít az alkalmazások értesítéseinek küldéséhez. Egyes értesítések esetén előfordulhat, hogy az alkalmazásnak hangot kell lejátszania, vagy szöveget, képeket vagy egyéb információkat kell letöltenie. Ha az alkalmazás be van zárva, az iPhone operációs rendszer lehetővé teszi, hogy az alkalmazás ideiglenesen felébredjen, hogy kapcsolatba lépjen a vállalati szerverekkel, elküldje az értesítést, és elvégezze az egyéb szükséges tevékenységeket. A Mysk által észlelt adatgyűjtés ebben a rövid időablakban történt.

„Szándékosan küldhetnek értesítést egy megcélzott eszközre, hogy az alkalmazás elinduljon a háttérben, és visszaküldje a részleteket” – mondta Mysk. Ijesztő példát is említett: ha egy olyan vállalat, mint a TikTok vagy az X/Twitter, 100 ezer, az alkalmazást bezárt ember IP-címének gyors frissítését szeretné elérni, egyetlen gyors értesítésre lesz szükség.

A Meta és a LinkedIn határozottan tagadta, hogy az adatokat reklámozásra vagy más nem megfelelő célokra használnák fel. „Nem használjuk az értesítéseket arra, hogy tagi adatokat gyűjtsünk hirdetési vagy kapcsolódó elemzési célokra, eszközökön vagy alkalmazásokon keresztüli nyomon követésre” – mondta a LinkedIn szóvivője, hozzátéve, hogy az összegyűjtött adatok csak az értesítés sikeres elküldésének megerősítésére szolgálnak, és soha nem osztják meg harmadik féllel az adatokat.

A Facebookot is birtokló Meta is hasonlóképp reagált. „A megállapítások nem pontosak. Az emberek bejelentkeznek az alkalmazásunkba az eszközükön, és engedélyt adnak az értesítések engedélyezéséhez. Időnként felhasználhatjuk ezeket az információkat, még akkor is, ha az alkalmazás nem fut, hogy segítsen nekünk időben, megbízható értesítéseket küldeni az Apple API-k segítségével. Ez összhangban van az irányelveinkkel – mondta Emil Vazquez, a Meta szóvivője.” Az Apple, a TikTok és az X/Twitter egyelőre még nem válaszolt a Gizmodo kérdéseire.

Az iPhone történetének legnagyobb változása jön, az Európai Unió kényszerítette ki

Uniós szabályozás vet véget az Apple-világ zártságának. Az iPhone-os vállalat talán nem is veszít sok pénzt, több fejlesztőnek viszont márciustól akkor is busásan fizetnie kell majd az Apple-nek, ha alkalmazása semennyi bevételt nem termel. Ezt pedig a felhasználók is megérezhetik.

Teljesen észszerű, hogy az alkalmazás a szolgáltatásainak optimalizálása érdekében elemezni szeretné, hogy a felhasználók hogyan reagálnak az értesítésekre. Mysk szerint azonban van néhány ok, amiért azt gondolhatjuk, hogy az alkalmazások nem ezért gyűjtik ezeket az adatokat. Egyrészt az Apple közvetlenül ad részleteket az alkalmazásfejlesztőknek arról, hogy mi történik az értesítésekkel, így nincs szükség további információk gyűjtésére, ha tudja, mi történt a felhasználók pingelése után. Ezenkívül úgy tűnik, hogy az alkalmazások által gyűjtött adatok nagy része nem kapcsolódik az értesítések működésének elemzéséhez, például a telefon szabad lemezterülete vagy az utolsó újraindítás óta eltelt idő – jegyezte meg Mysk.

Természetesen van néhány ártatlan magyarázat is az értesítési adatok problémájára. Például a fejlesztők néha régi kódot hagynak az alkalmazásaikban, amelyek olyan funkciókat hajtanak végre, amelyekre a vállalatoknak már nincs szükségük. Elméletileg lehetséges, hogy egy olyan alkalmazást, mint a LinkedIn, úgy állítanak be, hogy olyan adatokat gyűjtsön, amelyeket semmilyen célra nem használnak fel. A kutatók azonban azt mondták, hogy ezt nehéz elhinni.

Az iPhone operációs rendszer szabályainak közelgő változása javíthat a helyzeten, de nem világos, hogy megoldja-e a problémát. Idén tavasztól az alkalmazásfejlesztőknek el kell magyarázniuk, miért és hogyan használnak bizonyos „API-kat”, amelyek ebben az összefüggésben alapvetően olyan szoftverek, amelyeket az alkalmazások egymással és az iPhone operációs rendszerrel való kommunikációra használnak.

Elméletileg ez arra kényszerítheti a vállalatokat, hogy felfedjék, miért figyelnek a felhasználóra, és ha illegitim célból gyűjtenek adatokat, akkor talán le kell állniuk. „Ez jól hangzik, a rossz hír viszont az, hogy nem világos, hogy az Apple hogyan fogja ezt elérni" – mondta Mysk.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának tudományos felfedezésekről is hírt adó Facebook-oldalát.