Über Push-Benachrichtigungen: Prominente iOS-Apps spähen heimlich Gerätedaten aus

Viele weitverbreitete iOS-Apps missbrauchen offenbar Push-Benachrichtigungen, um Geräteinformationen zu sammeln und an die Server der jeweiligen App-Anbieter zu übermitteln. Darauf weisen Sicherheitsforscher von Mysk in einem X-Beitrag hin, laut dem selbst namhafte Onlinedienste wie Tiktok, Facebook, Messenger, Instagram, Threads, Linkedin, Bing und X dieser Praxis nachgehen.

Die Motivation für den Missbrauch der Notifications ist wohl der Umstand, dass iOS in der Regel keine Hintergrundprozesse erlaubt. Seit iOS 10 sei es Apps aber möglich, nach dem Empfang einer Push-Benachrichtigung für eine begrenzte Zeit im Hintergrund aktiv zu werden, um die Benachrichtigungsinhalte zu verarbeiten, erklären die Forscher.

Tatsächlich würden viele Anbieter sozialer Apps, die ohnehin für ihre aggressive Datensammelpraxis berüchtigt seien, die durch Push-Benachrichtigungen ermöglichte Ausführungszeit im Hintergrund jedoch für andere Zwecke nutzen. Dazu zähle etwa das Sammeln detaillierter Geräteinformationen wie Systembetriebszeit, Spracheinstellungen, verfügbarer Speicher, Batteriestatus, Gerätemodell oder Displayhelligkeit.

Viele prominente iOS-Apps sammeln Gerätedaten

Nach dem Empfang einer Push-Benachrichtigung wecke iOS die jeweilige App auf, sodass diese im Hintergrund beliebigen Code ausführen könne, den der Entwickler implementiert habe, warnen die Forscher. Durch die gesammelten Informationen sei es etwa möglich, Nutzerprofile (Fingerprinting) zu erstellen und Anwender zu tracken, wenngleich eine solche Praxis unter iOS und iPadOS streng verboten sei.

In einem auf Youtube veröffentlichten Video zeigen die Mysk-Forscher, wie weitverbreitete Anwendungen wie Tiktok, Facebook, X, Linkedin und Bing nach dem Empfang von Push-Benachrichtigungen Gerätedaten übermitteln. Die Häufigkeit, mit der dies geschehe, sei verblüffend, warnen die Forscher in ihrem X-Beitrag. Verwendet würden dafür Dienste wie Google Analytics oder Firebase, einige App-Anbieter nutzten jedoch auch eigene Systeme.

Wer die Datensammlung unterbinden will, muss die Push-Benachrichtigungen für die jeweilige App wohl vorerst vollständig deaktivieren. Im kommenden Frühjahr führe Apple jedoch eine Änderung ein, erklären die Forscher. Entwickler müssten dann explizit angeben, zu welchem Zweck sie eine API, die sich für das Fingerprinting eignet, verwenden wollen.

Erst im vergangenen Monat hatte der US-Senator Ron Wyden in einem Brief an das US-Justizministerium kritisiert, dass Push-Benachrichtigungen von Regierungsbehörden missbraucht werden, um heimlich Smartphone-Nutzer zu überwachen.