Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Приложения на iPhone собирают данные даже с включённой функцией "не Отслеживать"

04/02/25

960x0 (6)

Одно-единственное приложение, установленное на новенький iPhone, может раскрыть личные данные пользователя, даже если он запретил следить за собой. К такому выводу пришёл исследователь, известный под псевдонимом Тим, передаёт Securitylab.

В iOS есть функция "Ask App Not to Track" ("Попросить приложение не отслеживать"), которая должна защищать личные данные. На деле она лишь запрещает приложениям получать рекламный идентификатор устройства (IDFA). В Apple долго уверяли, что благодаря этой опции разработчики также не смогут отследить пользователя по другим данным - например, по электронной почте. Но реальность оказалась иной.

Тим взял чистый iPhone 11, сбросил его к заводским настройкам и установил лишь одну игру от разработчика KetchApp, у которого больше 200 приложений в App Store. Чтобы проследить за всем, что отправляет игра в сеть, исследователь настроил прокси-сервер.

То, что он увидел, заставит любого фаната техники Apple насторожиться: приложение отправляло данные каждую долю секунды. В каждом пакете содержалось больше 200 различных параметров, включая координаты устройства. Вся эта информация уходила напрямую создателям игрового движка Unity, на котором сделана игра. Тим отметил, что координаты были не очень точными - iPhone работал без SIM-карты, только через Wi-Fi.

Но самое удивительное - данные с метками времени и IP-адресами уходили на серверы Facebook*, хотя на телефоне не было ни единого приложения Meta*, а он сам не давал на это согласия. Функция "Ask App Not to Track" действительно обнулила рекламный идентификатор, но приложение всё равно собирало множество другой чувствительной информации.

В каждом запросе содержалось больше 20 разных идентификаторов: Identifier for Vendor (IFV), Transaction ID (TID), Session ID (SID), Device ID и User ID (UID). Приложение также фиксировало яркость экрана, объём памяти, заряд батареи и даже то, подключены ли наушники.

Затем данные попадали к компании Moloco - она работает как Demand-Side Platform (DSP) и утверждает, что охватывает 6,7 миллиарда устройств в более чем 190 странах. Такие платформы не просто связывают рекламодателей с местами для рекламы в реальном времени - они копят огромные массивы данных о пользователях, чтобы точнее нацеливать рекламу. При этом любой участник торгов может получить доступ к части или даже ко всем собранным данным.

Тим нашёл сотни компаний, которые торгуют такими данными. Некоторые предлагают связать рекламные идентификаторы (MAID) с реальными данными людей и постоянно обновлять эту информацию. Исследователь даже обнаружил фирму, которая напрямую привязывает рекламные ID к полным именам, почте, телефонам и домашним адресам.

Когда Тим попытался выкупить собственные данные, его остановила цена: за доступ к базе с информацией о миллионах пользователей просили 10-50 тысяч долларов. При этом купить её может любой желающий, не только спецслужбы. По словам исследователя, в этих базах хранятся маршруты передвижений каждого, кто хоть немного поиграл в бесплатные приложения.

На платформе Hacker News публикация собрала рекордное число голосов за выходные. В комментариях многие признают: пока компании и брокеры данных зарабатывают на этом деньги, защитить свою частную жизнь не получится - нужны системные изменения. Даже без уникального идентификатора приложения собирают достаточно данных, чтобы опознать человека в 99% случаев.

Как защититься? Не давать приложениям доступ к геолокации, подменять GPS-данные, отправлять ложную информацию, включать DNS-фильтры (частные DNS-сервисы или Pi-Hole) и блокировщики рекламы. Но некоторые аналитики считают, что полностью оградить себя от угроз не выйдет - разработчики научились обходить защиту, например, через жёстко прописанные IP-адреса.

Темы:FacebookприложенияIphoneОтрасльданные пользователей
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...