.
Na semana passada, a Apple começou a exigir que os desenvolvedores de iOS justificassem o uso de um conjunto específico de APIs que poderiam ser usadas para impressão digital de dispositivos. No entanto, o iGiant não parece estar fazendo muito esforço para garantir que Google, Meta e Spotify cumpram as regras, afirma.
A impressão digital do dispositivo envolve a coleta de informações sobre várias configurações e componentes do dispositivo e, em seguida, combiná-los em um único identificador que provavelmente será exclusivo e, portanto, útil para direcionar as pessoas com anúncios e outras coisas adaptadas aos seus interesses e circunstâncias individuais.
Existem outras formas de impressão digital envolvendo configurações do navegador, o elemento HTML Canvas, WebGL, fontes e assim por diante, algumas das quais possuem aplicações comerciais legítimas, como detecção de bots. Mas a impressão digital também pode ser usada para violar a privacidade e rastrear pessoas online.
Descobrimos que aplicativos como Google Chrome, Instagram, Spotify e Threads não cumprem os motivos declarados
Embora a Apple permita o rastreamento do usuário se a permissão for concedida, ela proíbe principalmente a impressão digital no nível do dispositivo no iOS, pelo menos em teoria. Tornou essa política oficial em uma postagem recente no blog.
Como tal, o iBiz agora exige que os desenvolvedores de aplicativos forneçam, entre outras coisas, motivos para usar qualquer uma de suas “APIs de motivo obrigatório” designadas que possam ser usadas para impressão digital de dispositivos.
Fundamentalmente, os dados recolhidos a partir destas interfaces, que podem ser utilizados para impressões digitais, devem permanecer no dispositivo do utilizador para maximizar a privacidade.
O fabricante do iPhone explica isso na documentação do desenvolvedor. “Algumas APIs que seu aplicativo usa para fornecer sua funcionalidade principal – no código que você escreve ou incluído em um SDK de terceiros – têm o potencial de serem usadas indevidamente para acessar sinais do dispositivo para tentar identificar o dispositivo ou usuário, também conhecido como impressão digital, ” afirma o site do desenvolvedor da Apple. “Independentemente de um usuário conceder permissão ao seu aplicativo para rastrear, a impressão digital não é permitida.”
Exemplos dessas APIs compatíveis com impressão digital incluem: APIs de carimbo de data/hora de arquivo, APIs de tempo de inicialização do sistema, APIs de espaço em disco, APIs de teclado ativo e APIs de padrões do usuário.
A partir de 1º de maio de 2024, os aplicativos que não incluírem motivos para usar essas APIs em seu arquivo de manifesto de privacidade não serão aceitos na iOS App Store. Anteriormente, a Apple apenas enviava um aviso por e-mail aos desenvolvedores não conformes.
De acordo com os desenvolvedores Talal Haj Bakry e Tommy Mysk, vários grandes fabricantes de aplicativos estão simplesmente ignorando os requisitos da Apple e usando APIs compatíveis com rastreadores sem seguir as regras. Grandes empresas de tecnologia como Google, Meta e Spotify – afirmam a dupla – estão fornecendo razões para esse uso de API, coletando esses dados e, em seguida, não cumprindo a exigência de manter essas informações no dispositivo.
Em outras palavras, Google, Meta e Spotify estão coletando pelo menos algumas informações dessas APIs e, em seguida, enviando esses dados para a base de acordo com as regras da Apple, fomos informados.
“Para evitar o uso indevido dessas APIs, a Apple rejeitará aplicativos que não descrevam o uso das APIs em seu arquivo de manifesto de privacidade”, explicam a dupla em um comunicado. “No entanto, descobrimos que aplicativos como Google Chrome, Instagram, Spotify e Threads não aderem aos motivos declarados.”
Strong The One perguntamos ao Google, Meta e Spotify se eles estão de fato usando essas “APIs de razão obrigatória” para impressão digital de dispositivos iOS e transmissão desses dados para servidores back-end, e não recebemos resposta dos dois últimos. Um porta-voz do Google confirmou que está analisando o relatório, mas não obteve resposta imediata.
“É difícil dizer se os aplicativos estão usando as informações para impressão digital ou não”, disse Mysk em mensagem ao Strong The One. “Mas a Apple já classificou um conjunto de APIs que podem ser potencialmente usadas para impressão digital. Os aplicativos que acessam essas APIs devem declarar os motivos pelos quais precisam de tal acesso.”
A Apple publicou uma lista de motivos válidos para usar certas APIs que revelam informações úteis para impressão digital. Por exemplo, o iOS fornece uma API chamada systemUptime que pode ser consultada para fornecer o tempo decorrido desde a última reinicialização do dispositivo.
Os desenvolvedores que desejam usar esta API podem selecionar entre vários motivos permitidos, um dos quais deve ser declarado em um arquivo de manifesto. O Google, por exemplo, escolheu 35F9.1, com itálico adicionado por nós para dar ênfase:
Embora a regra da Apple afirme claramente que os dados de tempo de atividade não podem ser enviados para fora do dispositivo, o Google Chrome parece estar fazendo exatamente isso, com base na análise de dados de rede de Bakry e Mysk. A regra permite uma exceção, mas que não se aplica ao Chrome.
“Não, esta exceção é sobre o uso local do tempo de atividade do sistema no dispositivo para solicitar eventos, por exemplo”, disse Mysk. Strong The Oneexplicando que o Google tem a opção de transmitir intervalos de tempo relativos entre dois eventos, mas não o número absoluto do tempo de atividade do dispositivo.
Mysk argumenta que as “APIs de razão obrigatória” da Apple, como seus rótulos nutricionais de privacidade, equivalem a um teatro de privacidade porque parece não haver fiscalização.
“Assim como os rótulos nutricionais de privacidade, os desenvolvedores são livres para inserir o que quiserem”, disse Mysk.
“A Apple não parece revisar se a descrição é precisa ou não. Embora os rótulos nutricionais sejam visíveis para os usuários, o motivo necessário para a API não ser. Portanto, não está claro como isso evitará impressões digitais e melhorará o usuário privacidade se a Apple não verificar os motivos enviados pelos desenvolvedores.”
Cupertino não respondeu a um pedido de comentário. ®
.
