Un nuevo estudio realizado por investigadores de seguridad de Mysk Inc, una empresa de desarrollo de aplicaciones, ha revelado que muchas aplicaciones para iPhone, como Facebook, LinkedIn, TikTok, Twitter y muchas otras, utilizan las notificaciones como un mecanismo para recopilar datos de los usuarios sin su consentimiento. El estudio descubrió que estas aplicaciones envían información exclusiva del dispositivo a servidores remotos cuando los usuarios interactúan con las notificaciones, aunque hayan cerrado las aplicaciones o desactivado la recopilación de datos en segundo plano.
Los investigadores afirman que los datos recogidos por estas aplicaciones se asemejan a las técnicas de fingerprinting, que se utilizan para identificar y rastrear a los usuarios en diferentes aplicaciones y dispositivos, y para ofrecer anuncios dirigidos. Las políticas de privacidad de Apple prohíben explícitamente el fingerprinting, y los usuarios disponen de varias configuraciones y reglas para controlar cuándo y cómo las aplicaciones pueden acceder a sus datos. Sin embargo, los investigadores afirman que las notificaciones no están cubiertas por estas protecciones y que las aplicaciones pueden utilizarlas para saltarse las preferencias de los usuarios y las normas de Apple.
El estudio analizó 50 aplicaciones populares en el iPhone y descubrió que 32 de ellas, es decir, el 64%, utilizaban notificaciones para recopilar datos. Los datos incluían detalles como direcciones IP, tiempo transcurrido desde el reinicio del teléfono, espacio libre en la memoria, nivel de batería, resolución de pantalla y modelo de dispositivo. Según los investigadores, estos datos son innecesarios para procesar las notificaciones y parecen estar relacionados con análisis, publicidad y seguimiento entre aplicaciones.
El estudio también descubrió que algunas aplicaciones, como Facebook y LinkedIn, utilizan las notificaciones para recopilar información relevante para sus modelos de negocio, como los intereses, la actividad y el comportamiento de los usuarios. Por ejemplo, Facebook recopila datos sobre cuánto tardan los usuarios en abrir las notificaciones, con qué frecuencia las descartan y qué acciones realizan después de abrirlas. LinkedIn recopila datos sobre si los usuarios aceptan o rechazan invitaciones, consultan perfiles o envían mensajes.
Los investigadores afirman que los datos recopilados a través de las notificaciones pueden utilizarse con diversos fines, como mejorar el rendimiento de la aplicación, personalizar el contenido, medir la eficacia y optimizar los ingresos. Sin embargo, también afirmaron que los datos pueden utilizarse con fines más intrusivos y dañinos, como invadir la privacidad del usuario, manipular su comportamiento, influir en sus decisiones y explotar sus vulnerabilidades.
Los responsables de la investigación se pusieron en contacto con Apple y los desarrolladores de aplicaciones para informarles de sus hallazgos y pedirles explicaciones sobre el uso que hacen de las notificaciones para recopilar datos. Afirmaron que Meta (Facebook) y LinkedIn negaron utilizar las notificaciones para la recopilación indebida de datos, y que afirmaron que sus prácticas estaban en consonancia con sus políticas y condiciones de servicio. Otros desarrolladores de aplicaciones no respondieron a sus preguntas.
Los autores esperan que su estudio sirva para concienciar y suscitar un debate sobre el problema de la recopilación de datos a través de las notificaciones, y que impulse a Apple y a los desarrolladores de aplicaciones a tomar medidas al respecto. Apple debería hacer cumplir sus políticas y normas de privacidad de forma más estricta y exigir a los desarrolladores de aplicaciones que revelen el uso que hacen de las notificaciones para la recopilación de datos. También dijeron que los desarrolladores de aplicaciones deberían respetar las opciones y preferencias de los usuarios y limitar la recopilación de datos a lo necesario y pertinente.
Los expertos afirman que los usuarios pueden protegerse de la recopilación de datos a través de notificaciones desactivando las notificaciones de aplicaciones en las que no confían o que no necesitan, o utilizando el modo «No molestar» en sus iPhones. También señalaron que los usuarios pueden comprobar su configuración de privacidad y los permisos de cada aplicación, y que pueden utilizar herramientas como VPN, cortafuegos y bloqueadores de anuncios para evitar o reducir la recopilación de datos.
El estudio se publicó en el blog Mysk el 25 de enero de 2024. Los investigadores afirman que tienen previsto realizar más pruebas en otras versiones de iOS, así como en otras plataformas, como Android y Windows.