Facebook, TikTok, X collectent des données lors de l’envoi de notifications push sur iPhone
Les chercheurs affirment que les applications iOS collectent des données utilisateur même lorsque les applications sont fermées grâce aux notifications push.
Les notifications push sont exploitées pour collecter à nouveau de manière invasive les données des utilisateurs, selon un nouveau rapport par des chercheurs du développeur d’applications Mysk.
Les applications iPhone utilisent des notifications push pour envoyer des informations sur les appareils et d’autres analyses à des serveurs distants, ont découvert les chercheurs de Mysk. Les développeurs peuvent collecter ces données même si l’application n’est pas ouverte sur l’appareil.
Que se passe t-il ici?
Apple n’autorise pas les applications iOS à s’exécuter en arrière-plan et suspend les applications inactives en raison de problèmes de confidentialité et de performances. Cependant, lorsqu’un utilisateur reçoit une notification push, iOS active temporairement l’application afin qu’elle puisse personnaliser la notification push pour l’utilisateur. Bien qu’iOS suspende à nouveau l’application après l’exécution de cette action, les données des appareils des utilisateurs sont collectées par ces applications et envoyées aux parties concernées pendant cette période.
Mysk a mis en ligne une vidéo sur YouTube qui montre des applications testées collectant des données de l’appareil via des notifications push.
Les applications qui collectent des données incluent certaines des plus grandes plateformes de médias sociaux comme Facebook, Instagram, TikTok, LinkedIn et X d’Elon Musk.
« La capacité d’exécuter des tâches en arrière-plan est une mine d’or pour les applications gourmandes en données », a déclaré Mysk dans un communiqué fourni à Indigo Buzz. » Sans surprise, de nombreuses applications sociales connues pour leurs pratiques agressives de collecte de données profitent du temps d’exécution en arrière-plan permis par les notifications push. En fait, les développeurs peuvent exploiter cette solution de contournement pour exécuter du code en arrière-plan à la demande. Tout ce qu’ils ont à faire est d’envoyer notifications push à leurs utilisateurs. En conséquence, iOS réveillerait son application en arrière-plan sur chaque appareil, puis l’application exécute le code que le développeur a intégré dans l’application.
Mysk a constaté que la plupart des applications se livrant à cette pratique collectaient des données sur l’appareil telles que « la disponibilité du système, les paramètres régionaux, la langue du clavier, la mémoire disponible, l’état de la batterie, le modèle de l’appareil, la luminosité de l’écran » et d’autres informations connexes. Les chercheurs affirment que ces données sont toutes pertinentes lors de la création de profils uniques afin de suivre les utilisateurs en ligne et de leur proposer des publicités pertinentes. Cette pratique, connue sous le nom de prise d’empreintes digitales, est interdite par les politiques iOS d’Apple.
Puis-je faire quelque chose ?
Certains développeurs d’applications repoussent les conclusions de Mysk, selon Gizmodo.
LinkedIn et Meta ont nié à Gizmodo que ces données soient utilisées à mauvais escient. LinkedIn a précisé que l’activité enregistrée via les notifications push est utilisée pour s’assurer que les notifications fonctionnent, et que cela respecte les directives d’Apple.
À la fin de l’année dernière, les notifications push sur les appareils iOS ont fait la une des journaux lorsque le sénateur américain Ron Wyden a reçu une astuce selon laquelle les forces de l’ordre et les gouvernements pouvaient demander des données sensibles aux appareils des utilisateurs via des notifications push. Après que l’histoire ait éclaté, Apple a réorganisé ses politiques pour exiger un mandat de perquisition avant de transmettre les données des utilisateurs.
Cependant, Apple est peut-être en avance sur lui-même dans ce cas. Selon Mysk, Apple prévoit déjà de commencer à exiger que les développeurs expliquent pourquoi les applications « utilisent des API qui renvoient des signaux uniques de l’appareil », activité utilisée dans la pratique de la prise d’empreintes digitales plus tard cette année.
En attendant, Mysk recommande aux utilisateurs concernés par cette collecte de données de désactiver les notifications push sur leur iPhone et iPad. Les chercheurs ont noté que les utilisateurs doivent choisir l’option permettant de désactiver complètement les notifications push pour chaque application afin d’arrêter la collecte de données.