Sommaire :
Des risques pour la sécurité de la vie privée lors de la réception des notifications
Deux chercheurs en cybersécurité ont récemment alerté sur des risques pour la sécurité de la vie privée lors de la réception des notifications. Ils affirment que certaines applications utilisent les notifications pour récupérer des données de votre iPhone.
Ces développeurs spécialisés en cybersécurité ont identifié ce détournement de fonctionnalité notamment chez des géants technologiques tels que Tiktok, Meta (anciennement Facebook) et X (anciennement Twitter).
Une brèche en sécurité : les notifications push
L’iPhone est conçu pour ne pas permettre l’exécution en arrière-plan des applications inactives, dans un souci de protection de la vie privée et de performances. Cependant, Apple autorise les applications à envoyer des notifications sans qu’elles aient besoin d’être en cours d’exécution.
C’est précisément lors de la réception de ces notifications que les applications mal intentionnées exploitent cette faille. iOS réveille l’application en arrière-plan « et lui donne un temps limité pour personnaliser la notification avant qu’elle ne soit affichée à l’utilisateur », expliquent les chercheurs.
Les notifications utilisées comme vecteur d’intrusion
Les applications profitent de ce moment pour télécharger du contenu supplémentaire afin d’enrichir la notification (image, lien, etc.). iOS coupe ensuite le canal de communication avec l’application en arrière-plan.
Les deux chercheurs ont découvert que les applications les plus intéressées par la récupération de données personnelles exploitent cette faille pour exécuter du code en arrière-plan et accéder à de nombreuses informations telles que le modèle de l’appareil, la localisation et l’état de la batterie.
Ces informations peuvent être utilisées pour créer une empreinte digitale du consommateur et le suivre dans son utilisation, ce qui est contraire aux règles d’Apple. Pourtant, pour certains développeurs, il s’agit d’une véritable mine d’or.
Les chercheurs ont constaté que des applications telles que Facebook Messenger, Thread, Instagram, X et Tiktok utilisent fréquemment cette pratique pour envoyer des informations de l’appareil vers leurs serveurs. La plupart de ces applications envoient également des données lorsqu’elles effacent leurs notifications dans le Centre de notification. Cette transmission des données se fait souvent via Google Analytics et Firebase, bien que Facebook utilise son propre service, tout comme Tiktok dans une certaine mesure.
Cependant, à partir du printemps 2024, Apple exigera des développeurs qu’ils déclarent les raisons pour lesquelles ils utilisent les API qui renvoient des signaux uniques de l’appareil, tels que ceux couramment utilisés pour les empreintes digitales.
Comment éviter cette pratique ?
Pour empêcher les applications de lire vos données grâce aux notifications, vous pouvez simplement désactiver complètement les notifications inutiles. Cette option se trouve dans les paramètres de votre smartphone, dans la section des notifications.