มีแอปพลิเคชันบน iOS จำนวนมากกำลังใช้ background processes ที่ถูกเรียกใช้โดยการแจ้งเตือนแบบ push notifications เพื่อรวบรวมข้อมูลผู้ใช้งานเกี่ยวกับอุปกรณ์ ซึ่งอาจทำให้เกิดการสร้างโปรไฟล์การใช้งานที่ใช้สำหรับการติดตามพฤติกรรมได้
นักวิจัยด้านมือถือ Mysk ผู้ค้นพบวิธีการนี้ได้ระบุว่า แอปเหล่านี้ bypass ข้อจำกัดการทำงานในเบื้องหลังของแอปใน Apple และก่อให้เกิดความเสี่ยงต่อความเป็นส่วนตัวของผู้ใช้ iPhone
ข้อกำหนดการตรวจสอบ App Store ของ Apple มีส่วนหนึ่งที่ระบุว่า "แอปไม่ควรพยายามสร้างโปรไฟล์ผู้ใช้อย่างลับ ๆ โดยอาศัยข้อมูลที่รวบรวมไว้ และต้องไม่พยายามอำนวยความสะดวก หรือสนับสนุนให้ผู้อื่นระบุตัวตนของผู้ใช้ที่ไม่เปิดเผย หรือสร้างโปรไฟล์ผู้ใช้ขึ้นใหม่จากข้อมูลที่รวบรวมจาก API ของ Apple หรือข้อมูลใด ๆ ที่ระบุว่าเป็นแบบ 'ไม่ระบุตัวตน' 'รวมกัน' หรือไม่สามารถระบุตัวตนได้"
Link : https://developer.apple.com/app-store/review/guidelines/#:~:text=(iii)%20Apps%20should%20not
หลังจากที่ Mysk วิเคราะห์ข้อมูลที่ส่งโดย iOS background processes เมื่อได้รับ หรือล้างการแจ้งเตือน พบว่าพฤติกรรมดังกล่าวเกิดขึ้นบ่อยกว่าที่เคยคาดการณ์ไว้มาก โดยเกี่ยวข้องกับแอปหลายตัวที่มีฐานผู้ใช้จำนวนมาก
Wake up และรวบรวมข้อมูล
Apple ออกแบบ iOS ให้แอปพลิเคชันไม่สามารถทำงานเบื้องหลังได้ เพื่อป้องกันการใช้ทรัพยากรเกินจำเป็น และเพื่อความปลอดภัยที่ดีกว่า เมื่อผู้ใช้งานไม่ได้ใช้แอปใด แอปนั้นจะถูกระงับการทำงาน และในที่สุดจะถูกปิดลง ดังนั้นแอปจึงไม่สามารถติดตาม หรือแทรกแซงการทำงานเบื้องหน้าได้
ใน iOS 10 Apple ได้เปิดตัวระบบใหม่ที่อนุญาตให้แอปพลิเคชันทำงานเบื้องหลังอย่างเงียบ ๆ เพื่อประมวลผลการแจ้งเตือนแบบ push notifications ใหม่ ก่อนที่อุปกรณ์จะแสดงผลให้เห็น
ระบบนี้ทำให้แอปที่ได้รับการแจ้งเตือนแบบ push notifications สามารถถอดรหัสข้อมูลที่เข้ามา และดาวน์โหลดเนื้อหาเพิ่มเติมจากเซิร์ฟเวอร์ของตัวเองเพื่อเสริมประสิทธิภาพก่อนจะแสดงให้ผู้ใช้เห็น เมื่อกระบวนการนี้เสร็จสิ้น แอปจะถูกปิดการทำงานอีกครั้ง
จากการทดสอบ Mysk พบว่าแอปจำนวนมากมีการใช้ฟีเจอร์นี้โดยไม่เหมาะสม โดยนำไปใช้เป็นช่องทางส่งข้อมูลเกี่ยวกับอุปกรณ์กลับไปยังเซิร์ฟเวอร์ของพวกเขา ซึ่งข้อมูลจะขึ้นอยู่กับแอปนั้น ๆ ข้อมูลที่ส่งอาจรวมถึงเวลาเปิดใช้งานระบบ ภาษา และรูปแบบแป้นพิมพ์ หน่วยความจำว่าง สถานะแบตเตอรี่ การใช้พื้นที่เก็บข้อมูล รุ่นของอุปกรณ์ และความสว่างของหน้าจอ
นักวิจัยเชื่อว่าข้อมูลเหล่านี้สามารถใช้สำหรับการสร้างรูปแบบการใช้งาน หรือโปรไฟล์ผู้ใช้ได้ ซึ่งทำให้สามารถติดตามผู้ใช้งานได้อย่างต่อเนื่อง ซึ่งเป็นสิ่งที่ iOS ห้ามไว้อย่างเด็ดขาด
Mysk อธิบายในโพสต์บนทวิตเตอร์ว่า "การทดสอบเผยให้เห็นว่าพฤติกรรมการส่งข้อมูลนี้มีความทั่วไปมากกว่าที่คาดการณ์ไว้มาก ความถี่ที่แอปต่าง ๆ ส่งข้อมูลอุปกรณ์หลังได้รับการแจ้งเตือนนั้นเป็นสิ่งที่น่าตกใจอย่างมาก"
Mysk สาธิตวิดีโอ เพื่อแสดงการแลกเปลี่ยนการส่งข้อมูลผ่านเครือข่ายในขณะที่ได้รับการแจ้งเตือนแบบ push notifications จาก TikTok, Facebook, X (Twitter), LinkedIn, และ Bing
Link : https://www.youtube.com/watch?v=4ZPTjGG9t7s
วิดีโอของ Mysk เผยให้เห็นว่าแอปเหล่านี้ส่งข้อมูลอุปกรณ์จำนวนมาก ไปยังเซิร์ฟเวอร์ของพวกเขาโดยใช้บริการต่าง ๆ เช่น Google Analytics, Firebase หรือระบบภายในของพวกเขาเอง
BleepingComputer ได้ติดต่อ Microsoft, X, Apple, TikTok, และ LinkedIn เกี่ยวกับประเด็นที่แอปพลิเคชันของพวกเขาส่งข้อมูลผู้ใช้กลับไปยังเซิร์ฟเวอร์ โดยยังไม่ได้รับคำตอบใด ๆ
การลดผลกระทบของปัญหานี้
Apple จะแก้ไขปัญหานี้ และป้องกันการละเมิด wake-ups ผ่านการแจ้งเตือนแบบ push notifications โดยการเพิ่มความเข้มงวดในการใช้ API ที่เข้าถึงสัญญาณของอุปกรณ์
Mysk แจ้งกับ BleepingComputer ว่า ตั้งแต่ฤดูใบไม้ผลิปี 2024 เป็นต้นไป แอปต่าง ๆ จะต้องระบุเหตุผลอย่างชัดเจนว่าทำไมจึงจำเป็นต้องใช้ API ที่สามารถถูกนำไปใช้ในการสร้างรูปแบบการใช้งานได้
API เหล่านี้ถูกใช้เพื่อดึงข้อมูลเกี่ยวกับอุปกรณ์ เช่น พื้นที่จัดเก็บข้อมูล เวลาเริ่มต้นระบบ การติดตั้งไฟล์ แป้นพิมพ์ที่กำลังใช้งาน และการตั้งค่าผู้ใช้ประจำ
หากแอปไม่ระบุการใช้ API ดังกล่าวอย่างถูกต้อง พร้อมอธิบายเหตุผลการใช้งานอย่างชัดเจน แอปเหล่านั้นจะถูกปฏิเสธจาก App Store
จนกว่าเหตุการณ์ดังกล่าวจะเกิดขึ้น ผู้ใช้ iPhone ที่ต้องการหลีกเลี่ยงการเก็บข้อมูลจาก API ดังกล่าว ต้องใช้วิธีปิดการแจ้งเตือน Push Notification ทั้งหมดไปก่อน ซึ่งการตั้งค่าใช้งาน notifications silent ไม่สามารถป้องกันการเก็บข้อมูลนี้ได้
วิธีการปิดการแจ้งเตือนบน iPhone: ให้เปิดแอป 'Settings', ไปที่ 'Notifications', เลือกแอปที่คุณต้องการจัดการการแจ้งเตือน และแตะเพื่อปิดการใช้งาน 'Allow Notifications'
ในเดือนธันวาคม ปี 2023 มีการเปิดเผยว่า รัฐบาลบางประเทศได้ร้องขอข้อมูลบันทึกประวัติการส่งการแจ้งเตือนแบบ push notifications ที่ดำเนินการผ่านเซิร์ฟเวอร์ของ Apple และ Google เพื่อใช้เป็นช่องทางหนึ่งในการติดตามสอดส่องผู้ใช้งาน
Apple ระบุว่า รัฐบาลสหรัฐฯ ห้ามไม่ให้พวกเขาแบ่งปันข้อมูลใด ๆ เกี่ยวกับคำขอเหล่านี้ และนับตั้งแต่นั้น Apple ก็ได้มีการปรับปรุงรายงานความโปร่งใสของตนเอง
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.