La semana pasada, Apple comenzó a exigir a los desarrolladores de iOS que justificaran el uso de un conjunto específico de API que podrían usarse para la toma de huellas digitales del dispositivo. Sin embargo, iGiant no parece estar haciendo muchos esfuerzos para garantizar que Google, Meta y Spotify cumplan las reglas, afirma.

La toma de huellas digitales del dispositivo implica recopilar información sobre varias configuraciones y componentes del dispositivo y luego combinarlos en un único identificador que probablemente sea único y, por lo tanto, útil para dirigirse a las personas con anuncios y otras cosas adaptadas a sus intereses y circunstancias individuales.

Existen otras formas de toma de huellas digitales que involucran la configuración del navegador, el elemento HTML Canvas, WebGL, fuentes, etc., algunas de las cuales tienen aplicaciones comerciales legítimas, como la detección de bots. Pero las huellas dactilares también se pueden utilizar para violar la privacidad y rastrear personas en línea.

Descubrimos que aplicaciones como Google Chrome, Instagram, Spotify y Threads no cumplen con los motivos indicados.

Aunque Apple permite el seguimiento de usuarios si se concede permiso, generalmente prohíbe Toma de huellas dactilares a nivel de dispositivo en iOS, al menos en teoría. Hizo oficial esta política en una reciente entrada en el blog.

Como tal, iBiz ahora requiere que los desarrolladores de aplicaciones proporcionen, entre otras cosas, razones para usar cualquiera de sus «API de razón requerida» designadas que se pueden usar para la toma de huellas digitales del dispositivo.

Fundamentalmente, los datos recopilados desde estas interfaces, que pueden usarse para tomar huellas digitales, deben permanecer en el dispositivo del usuario para maximizar la privacidad.

El fabricante del iPhone lo explica en la documentación para desarrolladores. “Algunas API que utiliza su aplicación para proporcionar su funcionalidad principal (en el código que usted escribe o incluido en un SDK de terceros) tienen el potencial de usarse indebidamente para acceder a las señales del dispositivo e intentar identificar el dispositivo o el usuario, lo que también se conoce como impresión. digital, «el sitio web para desarrolladores de Apple Estados. «Independientemente de si un usuario otorga permiso a su aplicación para realizar un seguimiento, no se permiten las huellas digitales».

Ejemplos de estas API compatibles con huellas digitales incluyen: API de marca de tiempo de archivo, API de tiempo de arranque del sistema, API de espacio en disco, API de teclado activo y API de valores predeterminados del usuario.

A partir del 1 de mayo de 2024, las aplicaciones que no incluyan motivos para usar estas API en su archivo de manifiesto de privacidad no se aceptarán en la App Store de iOS. Anteriormente, Apple solo enviaba una advertencia por correo electrónico a los desarrolladores que no cumplían.

Según los desarrolladores Talal Haj Bakry y Tommy Mysk, varios grandes fabricantes de aplicaciones simplemente ignoran los requisitos de Apple y utilizan API compatibles con rastreadores sin seguir las reglas. Las grandes empresas tecnológicas como Google, Meta y Spotify – afirma el dúo – están dando razones para este uso de API, recopilando estos datos y luego incumpliendo el requisito de mantener esta información en el dispositivo.

En otras palabras, se nos dice que Google, Meta y Spotify recopilan al menos parte de la información de estas API y luego envían esos datos a la base de datos de acuerdo con las reglas de Apple.

«Para evitar el uso indebido de estas API, Apple rechazará las aplicaciones que no describan el uso de las API en su archivo de manifiesto de privacidad», explica el dúo en un comunicado. consultivo. «Sin embargo, descubrimos que aplicaciones como Google Chrome, Instagram, Spotify y Threads no cumplen con los motivos indicados».

El registro Preguntamos a Google, Meta y Spotify si en realidad están utilizando estas “API de registro obligatorio” para tomar huellas dactilares de dispositivos iOS y transmitir esos datos a servidores back-end, y no hemos recibido respuesta de los dos últimos. Un portavoz de Google confirmó que estaba revisando el informe pero no recibió una respuesta de inmediato.

«Es difícil saber si las aplicaciones están usando la información de las huellas dactilares o no», dijo Mysk en un mensaje a El registro. “Pero Apple ya ha clasificado un conjunto de API que potencialmente pueden usarse para tomar huellas digitales. Las aplicaciones que acceden a estas API deben declarar los motivos por los que necesitan dicho acceso”.

Apple publicó un lista de razones válidas para usar ciertas API que revelan información útil para la toma de huellas digitales. Por ejemplo, iOS proporciona una API llamada Tiempo de actividad del sistema que se puede consultar para proporcionar el tiempo transcurrido desde la última vez que se reinició el dispositivo.

Los desarrolladores que quieran utilizar esta API pueden seleccionar entre varios motivos permitidos, uno de los cuales debe declararse en un archivo de manifiesto. Google, por ejemplo, eligió 35F9.1, con cursiva agregada por nosotros para enfatizar:

Si bien la regla de Apple establece claramente que los datos de tiempo de actividad no se pueden enviar fuera del dispositivo, Google Chrome parece estar haciendo precisamente eso, según el análisis de datos de red realizado por Bakry y Mysk. La regla permite una excepción, pero no se aplica a Chrome.

«No, esta excepción se refiere al uso local del tiempo de actividad del sistema en el dispositivo para solicitar eventos, por ejemplo», dijo Mysk. El registroexplicando que Google tiene la opción de transmitir intervalos de tiempo relativos entre dos eventos, pero no el número absoluto de tiempos de actividad del dispositivo.

Mysk sostiene que las “API de razón vinculante” de Apple, al igual que sus etiquetas nutricionales de privacidad, equivalen a un teatro de privacidad porque parece no haber supervisión.

«Al igual que las etiquetas nutricionales de privacidad, los desarrolladores son libres de poner lo que quieran», dijo Mysk.

«Apple no parece revisar si la descripción es precisa o no. Si bien las etiquetas nutricionales son visibles para los usuarios, la razón necesaria para la API no lo es. Por lo tanto, no está claro cómo esto evitará las huellas dactilares y mejorará la privacidad del usuario si Apple lo hace. No verificar los motivos enviados por los desarrolladores.»

Cupertino no respondió a una solicitud de comentarios. ®