Des chercheurs en sécurité révèlent une vilaine astuce sur la manière dont les applications iPhone collectent des données

Les développeurs d’applications qui souhaitent collecter des données utilisateur sur les iPhones traversent une période difficile. Parce qu’Apple réglemente la manière dont elle collecte les données et protège particulièrement soigneusement la vie privée de ses clients, n’est-ce pas ? Oui, mais cela ne signifie pas que les fournisseurs d’applications ne recherchent pas de failles pour accéder aux données pertinentes pour la publicité. La société de sécurité Mysk Inc. en a découvert un dans les applications iOS de Facebook, LinkedIn, TikTok et X (anciennement Twitter) et bien d’autres.

Comme ça Magazine en ligne Gizmodo a signalé que les entreprises utilisent des notifications push pour extraire les données des utilisateurs. Plus précisément, il s’agit de la réaction des utilisateurs lorsqu’ils voient une notification et la font glisser.

Une plus grande soif de données que ce qui est autorisé

Selon les résultats de la recherche, les développeurs d’applications profitent de ce moment éphémère. De nombreuses données de télémétrie sont ensuite envoyées aux serveurs du fournisseur sans que les utilisateurs ne s’en aperçoivent. En principe, cette pratique est correcte car la fonction doit correspondre au concept de service et révéler quelles notifications sont intéressantes et lesquelles ne le sont pas. Mais dans le même temps, les entreprises collectent des données supplémentaires qui peuvent être utilisées pour créer des profils d’identité. Selon les chercheurs, selon l’application, cela peut impliquer différentes données pertinentes, telles que les données de connexion et les adresses IP, les données de localisation, les données d’utilisation de l’appareil ou encore les paramètres de l’appareil. Les informations sur les utilisateurs qui peuvent en être dérivées peuvent être utilisées pour créer une empreinte numérique.

Suivi au-delà des limites des pages

Cette technologie de suivi des utilisateurs est également connue dans le jargon technique sous le nom d’empreintes digitales. Il est utilisé pour identifier de manière unique les utilisateurs via leurs appareils et pour suivre le comportement des utilisateurs sur Internet. Et si nécessaire, même au-delà des limites spécifiques des services et des sites Web de Facebook, LinkedIn et TikTok.

Les chercheurs en sécurité soulignent que la collecte de ces données ne signifie pas que les entreprises les utiliseront. Toutefois, d’après les résultats, il s’agit d’informations particulièrement pertinentes pour les mesures publicitaires et la publicité dite ciblée, c’est-à-dire l’affichage de publicités auprès de groupes cibles spécifiques. Selon Gizmodo, les entreprises concernées nient les allégations.

Plus curieux que Google

Cependant, comme le souligne le magazine, le comportement des applications interceptées est frappant. Parce que Apple accommode les entreprises en ce qui concerne les données provenant des notifications push et fournit des informations sur le comportement des utilisateurs dans le cadre de sa politique de confidentialité. Ce que les entreprises en question collectent également va au-delà de cela et semble violer les réglementations d’Apple.

Il existe une autre solution : selon les conclusions de Mysk, Google est exemplaire et ne collecte apparemment que les données auxquelles Apple a droit via les applications Gmail et YouTube pour iOS. Et ce, même si les données supplémentaires seraient pertinentes pour le cœur de métier de Google. Selon l’entreprise de sécurité, cela montre que les entreprises ont définitivement des arrière-pensées.

Collecte de données même contre la demande de l’utilisateur

Bien sûr, rien de tout cela ne devrait se passer ainsi. Le slogan « Ce qui se passe sur votre iPhone reste sur votre iPhone », avec le Apple a fait de la publicité sur des panneaux d’affichage grand format il y a des années, est en fait le principe directeur de l’entreprise. Car c’est précisément ce type de collecte de données à des fins publicitaires ciblées qu’Apple interdit aux entreprises qui souhaitent développer des applications pour iOS.

Pour les fournisseurs, les informations sur la manière d’interagir avec les notifications sont sans aucun doute importantes pour améliorer le service. Cependant, l’astuce exploite une faille pour contourner d’importants mécanismes de sécurité qu’Apple a insérés spécifiquement pour protéger les utilisateurs – y compris le levier dans les paramètres où les utilisateurs signalent manuellement leur rejet ou leur consentement.

Mais un remède est déjà en vue. Car avec une prochaine mise à jour pour iOS, de nouvelles règles entreront en vigueur. À l’avenir, les développeurs d’applications devront expliquer pourquoi ils utilisent certaines fonctions dans les interfaces de leurs programmes. Cela affecte également les interfaces, qui collectent dans ce cas les données des utilisateurs.