Dá para espiar seu iPhone usando só as notificações

Aplicativos coletam dados diversos quando uma notificação chega. Em conjunto, essas informações podem ser usadas para identificar e rastrear usuário.

Giovanni Santa Rosa
Por
(Imagem: Vitor Pádua/Tecnoblog)
Bateria, brilho da tela e memória livre podem ser usadas para identificar quem é o usuário (Imagem: Vitor Pádua/Tecnoblog)

Uma investigação da empresa de cibersegurança Mysk mostra que é possível obter informações sobre iPhones usando apenas as notificações. Com esses dados, é possível contornar as configurações do usuário e identificá-lo, mesmo contra sua vontade. Alguns aplicativos populares aproveitam essa “janela” para obter informações sobre os aparelhos, mas negam que isso seja usado para identificação ou direcionamento de anúncios.

O iOS impede que um aplicativo rode em segundo plano sem necessidade e fique coletando informações. No entanto, quando chega uma notificação (e elas chegam por meio dos servidores da Apple), o app correspondente é despertado para processar a informação — como baixar a foto de perfil de quem enviou uma mensagem, por exemplo. No entanto, alguns desenvolvedores aproveitam para fazer outras coisas.

iPhone sobre mesa, na sombra, com a tela virada para baixo
iPhone permite que apps “acordem” quando uma notificação chega (Imagem: Simerpreet Singh/Unsplash)

Nos testes, Facebook, LinkedIn, TikTok e X (antigo Twitter) coletaram diversas informações que, em um primeiro momento, não parecem relacionadas às notificações em si. Entre elas, estão endereço de IP, tempo que o aparelho levou para reiniciar, memória livre, brilho da tela e operadora usada.

Combinadas, informações desse tipo podem servir para identificar um usuário e associá-lo a outros dados, o que pode ser usado para direcionar anúncios. Esta é uma técnica conhecida como fingerprinting. Desde o iOS 14.5, a Apple permite que os donos de iPhone não mostrem seu código de identificação aos desenvolvedores. Essas técnicas de fingerprinting podem ser usadas para contornar o bloqueio.

Notificações abrem brecha para rastreamento

O uso de algumas dessas informações para o funcionamento dos próprios apps é plausível. Mesmo assim, existem alternativas para coletar menos dados. A própria Apple fornece um console com métricas sobre notificações, o que dispensa parte da necessidade de pegar mais informações para análise.

Além disso, nem todos os apps coletam esses dados. Tommy Mysk, co-fundador da Mysk, testou o Gmail e o YouTube, ambos do Google. Segundo o especialista, eles usam apenas informações obviamente relacionadas a processar as notificações.

O pesquisador, porém, aponta que a arquitetura atual do iOS permite que esse tipo de recurso seja usado para rastreamento. Ele explica que aplicativo poderia mandar notificações para milhares de pessoas e aproveitar essa janela para coletar o endereço de IP delas, por exemplo. Isso poderia, inclusive, ser feito de maneira direcionada, tendo menos pessoas como alvos.

YouTube no celular (imagem: Bruno Gall De Blasi/Tecnoblog)
YouTube coleta apenas informações essenciais (imagem: Bruno Gall De Blasi/Tecnoblog)

A Apple vai começar a cobrar explicações dos desenvolvedores sobre o uso de suas APIs, a partir do segundo trimestre de 2024. No entanto, não está claro o que ela vai fazer para fiscalizar esse recurso, nem que regras serão adotadas. Até lá, desativar as notificações é a melhor forma de evitar esse tipo de rastreamento.

Mesmo assim, não é a primeira vez que esse recurso é usado como brecha para espiar os aparelhos. A própria Apple e o Google confirmaram que compartilham com autoridades dos EUA as notificações que passam por seus servidores e são destinadas a usuários.

Meta e LinkedIn se defendem

O Gizmodo procurou as empresas mencionadas no teste. Apple, X e TikTok não responderam. O LinkedIn e a Meta negaram usar os dados coletados por meio das notificações para direcionar anúncios.

“Os dados coletados apenas para confirmar que uma notificação foi enviada com sucesso e, de forma transitória, ordenar a experiência do app, caso o usuário queira abri-lo usando a notificação”, disse o LinkedIn. A empresa alega que os dados não são compartilhados externamente.

A Meta também nega as acusações. “Nós podemos usar estas informações periodicamente, mesmo quando o app não está rodando, para nos ajudar a entregar notificações na hora certa, de maneira confiável, usando as APIs da Apple”, explica um porta-voz da empresa.

Com informações: Gizmodo

Relacionados