DAJ CYNK

Apple swoje, aplikacje swoje. Śledzą nas mimo zabezpieczeń

Anna Rymsza (Xyrcon)

Bezpieczeństwo

iOS 14 pozwala blokować śledzenie, ale aplikacje to obchodzą

iPhone ma chronić Twoją prywatność. Każda aplikacja musi zapytać, czy może śledzić, co robisz na swoim telefonie z jabłkiem. Ta funkcja narobiła masę szumu, ale wcale nie chroni Cię tak dobrze, jak Ci się wydaje.

Dalsza część tekstu pod wideo
 

Nowe zasady na systemie iOS i w App Store wywołały owacje na stojąco wśród aktywistów na rzecz prywatności i analityków. Jednocześnie sprawiły, że na Facebooka padł blady strach, bo jak tu reklamować cokolwiek bez śledzenia?

Zobacz: iOS 14.5: Apple wyjaśnia, o co chodzi z blokowaniem śledzenia

Google i Facebook znaleźli dziury

Nowe zasady ochrony prywatności, wprowadzone przez Apple, obejmują dwie widoczne dla użytkownika rzeczy. Po pierwsze, każda z aplikacji w App Store ma etykietę ze wszystkimi uprawnieniami i danymi, do których uzyska dostęp. Po drugie, użytkownik musi zgodzić się na to, by udostępnić aplikacji identyfikator swojego urządzenia. IDFA (Identifier For Advertisers) to indywidualny „odcisk palca” każdego iPhone'a i iPada, pomagający w dopasowaniu reklam kierowanych.

Dziś wiemy już, że tylko kilkanaście procent użytkowników systemu iOS zgadza się na udostępnienie tego identyfikatora autorom aplikacji. Mimo tego jakoś nie widać, żeby Facebook czy Google cokolwiek stracili. Wyjaśnili to analitycy z Uniwersytetu Oxfordzkiego w nowej publikacji (PDF), badającej wpływ działań Apple na realną ochronę prywatności. Naukowcy zbadali zawartość i zachowanie 1759 aplikacji z brytyjskiego App Store w wersjach przed i po wydaniu iOS 14 i wprowadzeniu nowych obostrzeń.

Apple nie kłamie, mówiąc, że iOS 14 nie udostępnia IDFA aplikacji, jeśli użytkownik się na to nie zgodzi. Rzeczywiście jest to utrudnienie dla mniejszych brokerów danych, polegających na „oficjalnych” kanałach komunikacji. To by było na tyle dobrych wiadomości.

Naukowcy nie zauważyli, by w aplikacjach zmienił się arsenał bibliotek śledzących. Wciąż ogromną popularnością cieszą się takie komponenty jak Google Firebase Analytics, Google Crashlytics i biblioteki Facebooka, czasami wcale o tym nie informując. Wiele aplikacji wciąż korzysta z identyfikacji grupowej (cohort tracking) lub probabilistycznej (fingerprinting).

Co więcej, znalezione zostały konkretne przykłady wykorzystania identyfikacji pojedynczych osób po stronie serwera, z którym łączy się aplikacja. To postępowanie jawnie łamie zasady forsowane przez Apple. Tylko co z tym zrobić? Blokada na urządzeniu nie sięga tak daleko, a największe podmioty zwyczajnie stać na szukanie obejść. Zresztą jest to problem nie tylko techniczny, ale i prawny. Według zapisów prawa w Wielkiej Brytanii, gdzie prowadzone było badanie, a także w Unii Europejskiej, nie można śledzić użytkownika w sieci bez jego wyraźnej zgody. Dotknięcie przycisku na ekranie telefonu to umowa prawnie wiążąca.

Warto też wiedzieć, że mniej popularne aplikacje mają źle przygotowane etykiety w App Store. To znak, że są kontrolowane mniej dokładnie. Apple też aureoli nosić nie może, bo niezmiennie od 2013 roku śledzi cykl życia swoich urządzeń na podstawie UUID.

Nie twierdzę tu, że zmiany wprowadzone w iOS 14 nie były nam potrzebne. Nie możesz jednak całkowicie na nich polegać. Google, Facebook i im podobni zawsze znajdą sposób, by wpakować się do Twojego życia. Jak nie drzwiami, to oknem.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Shutterstock

Źródło tekstu: ArsTechnica