Da inizio maggio 2024 gli sviluppatori di app iOS sono tenuti, per esplicita prescrizione di Apple, a giustificare l’uso di uno specifico insieme di API (Application Programming Interface) che potrebbero essere utilizzate (e in effetti lo sono già…) per svolgere attività di fingerprinting. Si tratta di una pratica che mira a raccogliere informazioni su varie impostazioni, componenti e configurazioni del dispositivo per poi combinarle in un singolo identificativo univoco, utile ad esempio per riconoscere uno stesso utente in tempi diversi.
Spesso il fingerprinting coinvolge l’utilizzo dell’elemento HTML Canvas, della libreria WebGL, dei font installati sul sistema, della risoluzione utilizzata lato client e molto altro ancora. Sebbene questi meccanismi siano utili, per esempio, con l’obiettivo di rilevare eventuali bot, sono sfruttati molto spesso per tracciare le persone online e seguirne gli “spostamenti” sul Web.
Le applicazioni delle aziende più grandi rispettano le misure anti-fingerpriting Apple? Apparentemente no.
Secondo gli sviluppatori Talal Haj Bakry e Tommy Mysk, diverse grandi aziende stanno ignorando i requisiti imposti da Apple a partire dal 1° maggio 2024 e utilizzano API che favoriscono il tracciamento senza rispettare le regole. I due ricercatori puntano esplicitamente il dito contro Google, Meta e Spotify e affermano che app come Chrome, Instagram, Spotify e Threads non si atterrebbero alle disposizioni fissate dalla Mela.
Le applicazioni citate starebbero raccogliendo alcune informazioni tramite le API Apple inviando i dati acquisiti al di fuori del dispositivo. “Per evitare un uso improprio di queste API, Apple deve rifiutare le app che non descrivono l’utilizzo delle API nel file manifest“, spiegano Bakry e Mysk in una nota tecnica. “Tuttavia, abbiamo scoperto che applicazioni come Google Chrome, Instagram, Spotify e Threads non si attengono alle specifiche dichiarate“.
Attenzione. Il duo non sostiene che Google, Meta e Spotify stiano necessariamente abusando delle API Apple per fare fingerprinting. Più semplicemente, sostengono che le giustificazioni non sono adeguate. La Mela ha già indicato un insieme di API che possono essere potenzialmente utilizzate per il fingerprinting. Quindi, tutte le app che accedono a tali API devono dichiarare le ragioni per cui hanno bisogno servirsene.
Mysk chiama però in causa anche l’azienda di Tim Cook e contesta quanto segue: “Apple non sembra controllare le motivazioni che gli sviluppatori inviano” rendendo di fatto vana, almeno per il momento, una misura che dovrebbe combattere fastidiose ingerenze nella sfera privata dei singoli individui.