Apple x fingerprinting: novas regras exigem que desenvolvedores justifiquem o acesso a dados do dispositivo
A Apple tornou o rastreamento, a publicidade direcionada e a venda de dados na web muito mais difícil para as redes de anúncios mobile e outros terceiros. Com a última alteração nas regras para desenvolvedores, a empresa está tomando uma atitude com relação ao fingerprinting, uma técnica duvidosa usada por alguns aplicativos para espionar você e o seu dispositivo abertamente.
A Apple já anunciou que os desenvolvedores precisam explicar por que os seus aplicativos precisam usar certas APIs (Interfaces de programação de aplicativos), que são diferentes maneiras de para que os aplicativos se comuniquem entre si e troquem informações. Através destas APIs, os desenvolvedores podem coletar dados aparentemente inofensivos sobre o seu dispositivo, inclusive quando você criou e editou pela última vez um arquivo, quanto espaço de disco livre você tem, quando você ligou o seu celular pela última vez, o teclado que você utiliza ou qualquer outra configuração.
Em um primeiro olhar, este tipo de informação pode parecer não ter utilidade nenhuma: por que alguém gostaria de saber o teclado que você usa, e por que a Apple se importa com quem sabe ou não sobre isso? No entanto, por mais que estas informações não pareçam muito pessoais ou privadas, quando combinadas, elas podem ajudar empresas a criar um perfil único, ou “fingerprint” de seu dispositivo. Esta “fingerprint” pode então ser usada para te rastrear pela web e te enviar anúncios personalizados.
Em linhas gerais, a “fingerprint” é uma combinação das funcionalidades de hardware e software. Quanto mais únicas estas funcionalidades, mais fácil é te rastrear. É claro que, diferentemente do seu nome, data de nacimento e da sua impressão digital física, a “fingerprint” de seu dispositivo não é fixa. A sua tão falada “singularidade” pode flutuar com o passar do tempo, o que significa que não se trata de uma forma de rastreamento ou identificação à prova de falhas. Ainda assim, a Apple já havia tido como alvo outras formas de rastreamento de terceiros, e o fingerprinting é uma brecha usada por algumas empresas para continuar o monitoramento.
“Justificativas aprovadas” para o uso das APIs da Apple: quais são elas?
As exigências para os desenvolvedores para justificar o acesso às informações de dispositivos valerão não apenas para o seu próprio código, mas também para SDKs (kits de desenvolvimento de software) de terceiros que adicionam aos seus aplicativos. As SDKs são ferramentas de terceiro ou livrarias que ajudam os desenvolvedores a adicionar funcionalidades a seus aplicativos. No entanto, alguns SDKs, como o gigante SDK do Facebook Ads e outros SDKs de publicidade, também reúnem muita informação sobre os usuários de aplicativos e os seus dispositivos. Estes SDKs são frequentemente escolhidos por desenvolvedores que buscam monetizar seus aplicativos através de anúncios: desenvolvedores podem mostrar anúncios personalizados de um fornecedor de SDK em seus aplicativos e serem pagos com uma parte de sua receita com os anúncios.
De acordo com as novas regras da Apple, tanto os aplicativos, quanto os SDKs de terceiros precisarão fornecer uma ou mais “justificativas aprovadas” pelas quais eles precisam acessar informações de dispositivos através de APIs específicas em documentos chamados “arquivos do manifesto de privacidade.” Estas justificativas devem ser “consistentes com a funcionalidade do app.” Por exemplo, um app de lanterna não precisa acessar a API de espaço em disco para funcionar, já que precisa acessar apenas o flash da câmera ou o brilho da tela. Assim, se um app de lanterna quiser acessar a memória do dispositivo, pode ser que esteja ocultando alguma intenção maliciosa (como mostrar anúncios para apps de limpeza de disco, coletar dados para fingerprinting, ou até mesmo instalar malware). Neste caso, a justificativa pela qual o app de lanterna usaria a API de espaço em disco seria inconsistente com a funcionalidade do app e ele pode ser acusado de ter violado a política da Apple, sendo eventualmente removido.
A Apple também afirmou que os desenvolvedores de aplicativos terão que escrever todos os domínios da internet a que quiserem se conectar com a intenção de rastreamento no artigo do manifesto de privacidade. No entanto, isso funciona apenas se o usuário permitir que o app o rastreie. Se isso não ocorrer, o app não será capaz de se conectar a estes domínios de maneira alguma.
Fonte: Regras de desenvolvedores da Apple
Antes de tudo, esta nova política parece ter como objetivo impedir que aplicativos enganem os usuários ao exigir que necessitam de certos tipos de permissões. Assim, fica difícil usar seus dados pessoais para mostrar anúncios ou criar fingerprints dos usuários.
É claro que usuários experts em tecnologia dificilmente daria aos seus aplicativos qualquer tipo de permissão duvidosa, já que a solicitação por si só já seria considerada um alerta. Mas, às vezes, simplesmente não prestamos atenção ou estamos com muita pressa. Além disso, a maioria das pessoas sequer tem ideia dos perigos de dar acesso aos dados de seus celulares a um app aleatório.
Permissão para rastrear é diferente de permissão para fingerprint
A Apple já deixou bem claro que, mesmo que um app tenha a permissão do usuário para o rastreamento (o que já é raro, já que 90% dos usuários de iPhone dos US negaram esta permissão após a Apple ter tornado o rastreamento de terceiros uma funcionalidade opcional em 2021), isso não significa que têm o direito à prática de “fingerprinting”.
Não importa se um usuário tenha ou não dado permissão para o seu rastreamento, a prática do “fingerprinting” ainda assim é proibida.
Os desenvolvedores terão que se adaptar às novas regras até maio de 2024. Já em setembro deste ano, pode ser que recebam uma nota da Apple pedindo que apresentem motivos legítimos para o uso de certas APIs. Se eles não enviarem esta informação a tempo, seus apps não serão mais aceitos na App Store.
Por mais que a Apple tenha dado um passo adiante em questão de fingerprinting, esta política não é novidade. O que é de fato novidade é a nova tentativa da Apple de reforçar a proibição. Já na Conferência Mundial dos Desenvolvedores (WWDC) de 2022, a Apple afirmou: “o fingerprinting jamais foi permitido. Não importa se um usuário dá a permissão para o rastreamento, o fingerprinting — uso de sinais do dispositivo para tentar identificar um dispositivo ou usuário — não é permitido pelo Acordo de Licença de Programa para Desenvolvedores da Apple.”
Na verdade, há registros da Apple sendo abertamente contra o fingerprinting antes mesmo disso tudo. Em 2017, a Uber quase foi expulsa da App Store após ser pega extraindo números de série de iPhones a partir do sistema operacional do dispositivo.
Como a Apple está liderando iniciativas de proteção de privacidade
A nova medida anti-fingerprinting é apenas uma das atitudes que a Apple vem tomando ao longo dos anos para melhorar a privacidade e segurança de seus usuários. A empresa de Cupertino sempre se vendeu como uma campeã em privacidade, fazendo com que questões de segurança se tornassem parte inerente de sua estratégia de marketing. Por mais que a empresa tenha sofrido severas críticas por permitir que seus apps nativos rastreiem os usuários sem consentimento explícito, não há como negar que a Apple está na vanguarda da privacidade, ao menos entre as Big Techs.
Veja abaixo algumas das funcionalidades essenciais de proteção de privacidade da Apple que ajudam os seus usuários a ter um controle maior sobre os seus dados e diminuir sua fingerprint:
-
A funcionalidade Transparência do rastreamento (ATT), introduzida no iOS 14.5 em Abril de 2021, é talvez a mais importante em termos de seu impacto no rastreamento de terceiros. Ela permite que você escolha se quer permitir que aplicativos te rastreiem ou não. Quando você abre um app que quer te rastrear, ele te mostrará uma mensagem pop-up pedindo a sua permissão. Você pode selecionar tanto “permitir” ou “Pedir ao aplicativo para não rastrear”. A maioria dos usuários da Apple escolhem a segunda opção, o que significa que bloquearam o rastreio de seu IDFA (Identificador para anunciantes), um código único de cada dispositivo. Isso fez com que gigantes da tecnologia como Meta perdesse parte de sua receita com publicidade, com prejuízo estimado em bilhões de dólares.
-
O Selo de privacidade de aplicativos, lançado pela Apple no fim de 2020, permite que você veja quais informações são coletadas pelos aplicativos e o propósito da coleta diretamente na App Store ou no site da Apple. Os selos de privacidade são divididos em 3 categorias: dados não relacionados a você, dados relacionados a você e dados utilizados para te rastrear. A última categoria é a que mais revela informações sobre você, já que mostra dados que um aplicativo pode utilizar para te rastrear em outros apps e websites, inclusive para a publicidade direcionada. É importante notar, no entanto, que quando você clica em “Ver detalhes” na seção “Privacidade do Aplicativo” da descrição na App Store, você verá o seguinte aviso: “Esta informação não foi verificada pela Apple.” Isso significa que a Apple está simplesmente confiando que desenvolvedores estão proporcionando selos de privacidade corretos para os seus aplicativos, e vários relatórios chamaram atenção para o fato de que muitos deles estão incompletos ou são enganosos. Em resposta às críticas, a Apple afirmou que checa os apps regularmente e faz com que os desenvolvedores corrijam qualquer erro.
-
O Relatório de privacidade de aplicativos está disponível desde 2021 e é uma funcionalidade que demonstra a frequência com que aplicativos usam as permissões que você conferiu para acessar a sua localização, câmera, microfone, contatos e outros dados. Você também consegue ver quais domínios da internet podem ser usados para o rastreamento ou publicidade. Com essas informações, você pode tomar a decisão de retirar permissões que tenha dado aos apps ou parar de utilizá-los se considerar que estão te espionando. A funcionalidade Relatório de privacidade de aplicativos pode ser ativada nas configurações de privacidade do seu dispositivo.
-
A Proteção de privacidade em emails é uma funcionalidade que oculta o seu endereço de IP de disparadores de email, impedindo que descubram sua localização exata. Esta funcionalidade também ajuda a evitar que o remetente seja notificado da abertura do email e da sua interação com ele. Esta informação normalmente é valiosa para o marketing, que normalmente ganha acesso a elas através de pixels de rastreamento (imagens transparente minúsculas inseridas nas mensagens). Esta funcionalidade, introduzida no iOS 15, é opcional e precisa ser ativada nas configurações do email.
-
A Proteção inteligente contra rastreamento (ITP) é uma funcionalidade para o navegador Safari da Apple que bloqueia cookies e rastreadores de terceiro e impede que coletem dados sobre o seu comportamento online. Tendo aparecido pela primeira vez no iOS 15, este recurso também passou a ocutar o seu endereço de IP de rastreadores, fazendo com que não consigam associar sua atividade com a sua localização ou dispositivo e, por consequência, o seu perfil publicitário. A funcionalidade é ativada no Safari por padrão.
-
O recurso Ocultar meu email é um serviço que permite que os usuários deixem o seu endereço de email real privado ao criar contas em apps ou websites. Você pode usar esta funcionalidade gratuitamente ao fazer login com a Apple em sites de terceiros, se essa for uma possibilidade oferecida pelo website.
-
Política de privacidade para todos os aplicativos iOS. Em 2018, a Apple fez com fosse obrigatório que todos os apps do iOS coloquem o link direto para a sua política de privacidade na App Store. Antes disso, a exigência era válida apenas para apps com serviços de assinatura, o que pode parecer suspeito para os padrões de hoje. Mais uma vez, parece haver um problema com a implementação desta política. Um estudo de 2022 da Pixalate descobriu que 13% dos apps pesquisados na App Store não apresentavam uma política de privacidade. No entanto, não se sabe ao certo quantos destes apps estavam “abandonados”, ou seja, não foram atualizados desde 2018.
É claro que há outras funcionalidades da Apple que te ajudam a melhorar a sua privacidade. Algumas delas estão disponíveis apenas para usuários pagos, como o Private Relay da Apple, que ajuda a ocultar o seu histórico de navegação tanto da Apple quanto de terceiros. Aqui, nós mencionamos apenas algumas das principais funcionalidades da Apple que estão ativadas por padrão ou disponíveis através das configurações.
Mas elas são provas de que a Apple, apesar de todos os seus defeitos e de suas controversas práticas de rastreamento, está no caminho certo em termos de proteção de usuários do rastreamento de terceiros.
Esperamos que esta atitude inspire uma mudança geral na indústria com relação ao fingerprinting e faça com que o Google, principal concorrente da Apple, considere tomar medidas parecidas.