Apple zapewniało, że ochroni prywatność użytkowników. Tymczasem, iOS wciąż nas śledzi

Opublikowane niedawno badania, w których wzięto pod lupę mechanizm przejrzystości śledzenia w aplikacjach (App Tracking Transparency, ATT) wykazały, że zawiera on wiele luk, które pozwalają na obejście zabezpieczeń przez niego tworzonych - szczególnie dużym firmom, takim jak Google czy Meta (Facebook).

Zdaniem badaczy z Wielkiej Brytanii i USA, niedociągnięcia w działaniu ATT pozwalają firmom zbierać na temat użytkowników iOS nawet więcej danych, niż przedtem - dając im fałszywe poczucie bezpieczeństwa, które wynika z iluzorycznego wyboru, jaki mamy w chwili, gdy po pierwszym uruchomieniu nowej aplikacji jesteśmy pytani o to, czy chcemy zezwolić jej na śledzenie nas i gromadzenie danych również na temat tego, jak korzystamy z innych programów zainstalowanych na naszym smartfonie.

Niewidzialny identyfikator

W swoim opracowaniu naukowcy zwracają uwagę, że obchodzenie mechanizmu przejrzystości śledzenia w aplikacjach Apple'a omijane jest np. przez wykorzystanie - generowanego po stronie instalowanej aplikacji - unikalnego identyfikatora, pozwalającego na profilowanie, którego system Apple'a "nie widzi". Identyfikator ten może być używany m.in. przez spółkę Umeng zależną od chińskiego koncernu Alibaba do gromadzenia danych o aktywności użytkowników pomiędzy aplikacjami.

Obchodzenie systemu ATT w ten sposób jest na platformie Apple'a nielegalne, o czym koncern wprost informuje deweloperów, chcących z jej pośrednictwem dystrybuować oprogramowanie.

Sam koncern jednak nie pozostaje bez winy - również śledzi użytkowników, tworząc wyjątki od reguły niegromadzenia danych, np. na potrzeby szacowania zdolności kredytowej osób, korzystających z usług cyfrowych z użyciem urządzeń i oprogramowania tej spółki.

Machina inwigilacji działa bez zmian

Próba 1685 aplikacji, które przebadali w swoim opracowaniu naukowcy (zarówno przed wdrożeniem mechanizmu ATT, jak i przed) wykazała, że liczba bibliotek, gromadzących dane o użytkownikach w oprogramowaniu mobilnym nie zmieniła się specjalnie. Najczęściej wykorzystywane są należąca do Apple'a SKAdNetwork, Firebase Analytics Google'a, a także Crashlytics tego samego koncernu.

80 proc. aplikacji poddanych analizie zawierało chociaż jedną bibliotekę śledzącą - czytamy w opracowaniu.

Według badaczy, użytkownicy są śledzeni nawet przez aplikacje, które twierdzą, że tego nie robią - programy takie zawierały przeciętnie 1,8 biblioteki śledzącej i gromadziły dane dla 2,5 firm obracających danymi. Spośród programów zawierających wymienione wcześniej biblioteki, ponad połowa nie informowała użytkowników o tym, że ma dostęp do ich danych.

Czy mechanizm ATT wzmacnia pozycję pożeraczy danych?

W opracowaniu czytamy, że pomimo wdrożenia przez Apple'a mechanizmu mającego zwiększać kontrolę użytkowników nad tym, co dzieje się z ich danymi, wielkie firmy internetowe doskonale radzą sobie z gromadzeniem informacji na nasz temat - po prostu obchodząc systemowe zabezpieczenia przed trackingiem.

Wykorzystują w tym celu szereg metod, które niekoniecznie bazują na systemowym identyfikatorze reklamowym - mogą natomiast z powodzeniem łączyć adres IP użytkownika z identyfikatorami unikalnymi dla instalowanych aplikacji, jak i używać do śledzenia mechanizmów, pozwalających na ułatwione logowanie się do usług (wdrożyły je już dawno temu m.in. Google i Facebook).

Mechanizm ATT zatem w praktyce może wzmacniać pozycję firm gromadzących nasze dane, które nie robią tego wprost, jednak wynajdują coraz to nowe, całkowicie nieprzejrzyste sposoby radzenia sobie z rosnącą chęcią ukrycia się przed ich okiem, którą odczuwa coraz większa liczba użytkowników.

"Powstanie ATT spowodowało, że rozwój technologii śledzących zszedł do podziemia" - napisali badacze, dodając, że kolejne zapowiadane mechanizmy mające zwiększać prywatność użytkowników urządzeń Apple'a mogą przełożyć się na jeszcze mniej przejrzystości w kwestii gromadzenia danych na nasz temat, a tym samym utrudnić prace badawcze i realne działania na rzecz ochrony prywatności.

Czy to oznacza, że mechanizm chroniący prywatność Apple'a jest do niczego?

Absolutnie nie. ATT pozwala w wielu przypadkach realnie ograniczyć śledzenie nas przez aplikacje mobilne i łączenie danych w profile.

Jego zastosowanie pozwala nam świadomie wyrażać zgodę na to, jakim aplikacjom zezwalamy na gromadzenie danych o naszej aktywności w innym oprogramowaniu, jak i na stronach internetowych, które odwiedzamy.

Wdrożenie ATT zbiegło się w czasie z wprowadzeniem przez Apple'a obowiązku informowania przez deweloperów o tym, jakie dane gromadzą tworzone przez nich aplikacje - to również dobra zmiana, z której myśląc globalnie, użytkownicy urządzeń mobilnych tego koncernu mogą tylko skorzystać, samodzielnie decydując, które oprogramowanie instalują na swoich smartfonach i tabletach, a które na to nie zasługuje, gromadząc zbyt wiele danych na ich temat.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.