Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Abuso en iPhone: Notificaciones Push Usadas para Recoger Datos

Escrito por Adan Cuevas | Jan 29, 2024 3:00:00 PM

Las notificaciones push son mensajes que aparecen en la pantalla de tu iPhone cuando una aplicación quiere comunicarte algo, como una nueva actualización, una oferta especial o una alerta de seguridad. Estas notificaciones pueden ser muy útiles para mantenerte informado y conectado con tus aplicaciones favoritas, pero también pueden suponer un riesgo para tu privacidad si no las configuras correctamente.

Según un reciente informe, algunas aplicaciones populares de iPhone, como Facebook, LinkedIn, TikTok y Xfinity, están abusando de las notificaciones push para recopilar datos de los usuarios sin su consentimiento. Estas aplicaciones aprovechan una característica de iOS que les permite ejecutarse en segundo plano cuando reciben o borran una notificación, y así enviar información sobre el comportamiento del usuario, el identificador del dispositivo, la ubicación y otros datos sensibles a sus servidores o a terceros.

 

Abuso de las Notificaciones Push en iPhone

 

Varias aplicaciones para dispositivos iOS están utilizando procesos en segundo plano, activados por notificaciones push, para recopilar información del usuario. Esta recolección de datos podría facilitar la creación de perfiles basados en las huellas digitales de los dispositivos, lo que a su vez permite el seguimiento de los usuarios.

Un investigador especializado en dispositivos móviles, conocido como Mysk, ha identificado esta práctica. Según sus hallazgos, estas aplicaciones están sorteando las normativas de Apple sobre las actividades de las aplicaciones en segundo plano, representando así un riesgo para la privacidad de los usuarios de iPhone.

Estas aplicaciones no deberían tratar de crear perfiles de usuario de manera subrepticia utilizando datos recabados. Tampoco deberían intentar, facilitar o incentivar a terceros a identificar a usuarios anónimos o a reconstruir perfiles de usuario con base en datos obtenidos a través de las API proporcionadas por Apple o cualquier otro dato que se afirme haber recopilado de manera "anónima", "agregada" o de una forma no identificable. Esto va en contra de las normativas de la App Store de Apple.

El investigador Mysk, tras analizar qué información se transmite desde los procesos en segundo plano de iOS al recibir o eliminar notificaciones, descubrió que esta práctica es mucho más común de lo que se pensaba y afecta a una amplia gama de aplicaciones populares.

 

Te podrá interesar:  iPhone Triangulation Attack: Características ocultas del Hardware

 

Activa y Recolecta Información

 

Apple diseñó su sistema operativo iOS de tal manera que limita la ejecución de aplicaciones en segundo plano, con el objetivo de preservar los recursos del dispositivo y aumentar la seguridad. Las aplicaciones que no se usan activamente se suspenden y finalmente se cierran, lo que impide que monitoreen o interfieran con las actividades que se ejecutan en primer plano.

No obstante, con la introducción de iOS 10, Apple implementó un nuevo sistema que permite a las aplicaciones activarse silenciosamente en segundo plano para procesar nuevas notificaciones push antes de que el usuario las vea.

Este sistema permite a las aplicaciones que reciben estas notificaciones descifrar la carga útil entrante y descargar contenido adicional de sus servidores para mejorar la notificación antes de presentarla al usuario. Después de este proceso, la aplicación se cierra de nuevo.

Un investigador móvil, Mysk, mediante pruebas, encontró que varias aplicaciones están aprovechando indebidamente esta funcionalidad. La utilizan como una oportunidad para transmitir información del dispositivo a sus servidores. Dependiendo de la aplicación, los datos enviados pueden incluir el tiempo de actividad del sistema, la configuración regional, el idioma del teclado, la memoria disponible, el estado de la batería, el uso del almacenamiento, el modelo del dispositivo y el nivel de brillo de la pantalla.

 

 

El investigador sugiere que estos datos podrían usarse para crear huellas digitales de los dispositivos o perfiles de usuario, facilitando un seguimiento persistente, una práctica que está estrictamente prohibida en iOS.

"Nuestras pruebas indican que esta práctica es más común de lo que pensábamos. Es sorprendente la frecuencia con la que muchas aplicaciones envían información del dispositivo tras ser activadas por una notificación", mencionó Mysk en una publicación en Twitter.

Se encontró que las aplicaciones transmiten una variedad de datos del dispositivo a sus servidores, utilizando servicios como Google Analytics, Firebase o sus propios sistemas personalizados.

 

Te podrá interesar:  Apple lanza parche urgente para iPhone y Mac

 

Mitigación del problema

 

Apple planea cerrar la brecha y prevenir abusos futuros de las notificaciones push endureciendo las restricciones sobre el uso de las API que pueden acceder a señales de los dispositivos.

Según Mysk, a partir de la primavera de 2024, las aplicaciones tendrán que declarar de manera precisa el motivo por el cual necesitan utilizar API que podrían ser empleadas para crear huellas digitales de los dispositivos. Estas API se usan para obtener información sobre un dispositivo, como su espacio en disco, el tiempo de inicio del sistema, marcas de tiempo de archivos, teclados activos y configuraciones predeterminadas del usuario.

Apple ha indicado que las aplicaciones que no declaren adecuadamente el uso de estas API y el propósito de su uso serán rechazadas de la App Store. Mientras tanto, para aquellos usuarios de iPhone que deseen evitar la creación de huellas digitales, se recomienda desactivar completamente las notificaciones push. Sin embargo, simplemente silenciar las notificaciones no impedirá el abuso.

Para desactivar las notificaciones, los usuarios deben abrir "Configuración", ir a "Notificaciones", seleccionar la aplicación específica y apagar la opción "Permitir notificaciones". En diciembre, se descubrió que los gobiernos estaban solicitando registros de notificaciones push enviadas a través de los servidores de Apple y Google como una manera de espiar a los usuarios.

 

Conoce más sobre:  Refuerza tu seguridad: Desactiva esta opción en tu iPhone

 

Conclusión

 

El abuso de las notificaciones push en iPhone para recopilar datos de usuario es un tema preocupante que pone en riesgo la privacidad y seguridad de los datos personales. Es vital que los usuarios estén conscientes de estas prácticas y tomen medidas para protegerse. Al mismo tiempo, las empresas como Apple deben continuar fortaleciendo sus políticas para garantizar que las aplicaciones en su plataforma no abusen de estas funcionalidades.