Un ricercatore di sicurezza ha scoperto che i dati di analytics di Apple vengono raccolti e inviati dagli iPhone, indipendentemente dal fatto che gli utenti abbiano dato o meno il consenso durante il processo di configurazione.
La quantità di dati raccolti è stata descritta dal ricercatore come “scioccante” e ha portato ad una class action in cui si afferma che le promesse di Apple in materia di privacy sono completamente illusorie.
La scoperta è stata fatta dallo sviluppatore e ricercatore di sicurezza Tommy Mysk, che in precedenza aveva scoperto che molte app integrate in iOS bypassano le connessioni VPN quando inviano dati ad Apple. Inoltre, lo stesso Mysk aveva scoperto che l’app Mail su Apple Watch non utilizzava la funzione Mail Privacy Protection. Apple ha successivamente risolto il problema.
Per quanto riguarda i dati di analytics inviati senza consenso, ogni volta che si configura un nuovo iPhone, viene chiesto se si vuole acconsentire o meno alla raccolta di dati da parte di Apple. Se si nega il consenso, ci si aspetta che i dati analitici non vengano inviati ad Apple.
Tuttavia, Mysk ha scoperto che le app Apple raccoglievano e inviavano questi dati indipendentemente da questa impostazione. In particolare non ha notato alcuna differenza nel numero dati inviati tra la scelta di concedere o di rifiutare il consenso.
Mysk ha riscontrato questo comportamento nell’app App Store. Mentre l’utente naviga su App Store, vengono inviati contemporaneamente ad Apple dati di utilizzo dettagliati. I dati contengono ID per associare il comportamento a un profilo.
Mysk ha dichiarato che il volume e il dettaglio dei dati sarebbero eccessivi anche con il consenso attivo, in quanto includono tutto ciò che serve per il fingerprinting del dispositivo, una tecnica utilizzata da aziende come Meta come soluzione alla trasparenza del tracciamento delle app. Anche con il consenso, “il livello di dettaglio è scioccante per un’azienda come Apple”. Va notato che Apple vieta esplicitamente tali soluzioni nelle sue linee guida per gli sviluppatori.
In pratica, l’app App Store inviava dati in tempo reale sulle ricerche di app, sugli annunci pubblicitari visti, sul modo in cui venivano trovate le app visualizzate e persino sul tempo trascorso a guardare la pagina di un’app. Gizmodo sottolinea che anche questi dati possono essere sensibili, come ad esempio la ricerca di app relative a tematiche LGBTQIA+ o all’aborto.
Mysk ha poi controllato altre app di Apple, scoprendo che lo stesso vale per Apple Music, Apple TV, Libri e Borsa. Ad esempio, l’app Borsa condivideva con Apple i titoli azionari osservati dall’utente, nonché i nomi di altri titoli ricercati o visualizzati, insieme agli articoli di notizie letti nell’app.
“Il modo per disabilitare la condivisione delle analisi con Apple non è chiaro“, ha spiegato il ricercatore. “Ci sono annunci personalizzati, raccomandazioni personalizzate e condivisione delle analisi dell’iPhone. Disattivare tutte queste opzioni non è banale. Quando le abbiamo disattivate tutte, non abbiamo notato alcun cambiamento nella quantità o nel dettaglio dei dati sincronizzati con Apple“.
I querelanti accusano quindi Apple di aver violato il California Invasion of Privacy Act. “La privacy è uno degli aspetti principali che Apple utilizza per distinguere i suoi prodotti dalla concorrenza“, si legge nella denuncia. “Ma le garanzie di privacy di Apple sono del tutto illusorie“.
Apple non ha risposto alle richieste di commenti. Cosa ne pensate?