Dados de uso de iPhones coletados pela Apple entregam informações pessoais identificáveis, revela teste

A política de privacidade que rege a análise dos dispositivos da Apple afirma que “nenhuma das informações coletadas o identifica pessoalmente”. No entanto, um novo teste realizado por pesquisadores de uma empresa de software descobriu que os dados de uso de iPhones, ao contrário do que promete explicitamente a gigante de Cupertino, entregam informações pessoalmente identificáveis dos usuários.

De acordo com a empresa Mysk, que conduziu os testes com iPhones, a análise dos dados enviados à Apple mostra que ela inclui um número de identificação permanente e inalterável chamado de Directory Services Identifier (DSID).

A companhia coleta esse mesmo número de identificação com informações para seu ID Apple, o que significa que o DSID está diretamente ligado ao nome completo, número de telefone, data de nascimento, endereço de e-mail e mais, segundo os testes da empresa.

Imagem: Reprodução/Apple

De acordo com a política analítica da Apple, “os dados pessoais ou não são registrados, estão sujeitos a técnicas de preservação da privacidade, tais como privacidade diferencial, ou são removidos de quaisquer relatórios antes de serem enviados à Apple”. Entretanto, os testes da Mysk mostram que o DSID, que está diretamente ligado ao nome do usuário, é enviado à Apple no mesmo pacote que todas as outras informações analíticas.

“Conhecer o DSID é como conhecer seu nome. É único para sua identidade”, disse Tommy Mysk, desenvolvedor de aplicativos e pesquisador de segurança. “Todas estas análises detalhadas vão estar diretamente ligadas a você”. E isso é um problema, porque não há maneira de desligá-lo”.

As descobertas agravam as recentes descobertas sobre os problemas de privacidade e as promessas da Apple. No início de novembro, Mysk descobriu que a empresa de tecnologia coleta informações analíticas mesmo quando o usuário desliga uma configuração do iPhone chamada “Share iPhone Analytics”, uma ação da qual ela se compromete a “desabilitar completamente o compartilhamento da Análises do Dispositivo”. Dias depois que o site Gizmodo informou sobre os testes de Mysk, uma ação coletiva foi movida contra a Apple por supostamente ter enganado seus clientes sobre o assunto.

A empresa não respondeu ao pedido de comentários, bem como não disse nada publicamente sobre as aparentes contradições em suas promessas de privacidade, ou sobre a recente ação judicial.

Teoricamente, a Apple poderia argumentar que um número de identificação não é uma informação pessoal. Mas a GDPR, a lei de privacidade europeia que estabelece o padrão para regulamentação de dados em todo o mundo, define dados pessoais como qualquer informação que “direta ou indiretamente” identifica uma pessoa, incluindo números de identificação.

“Acho que as pessoas devem ficar chateadas com isso”, disse Mysk. “Isso não é o Google. As pessoas optam pelo iPhone porque pensam que este tipo de coisas não vão acontecer. A Apple não tem o direito de ficar de olho em você”.

No Twitter, a Mysk publicou informações sobre o teste em uma thread que pode ser vista abaixo.

🚨 New Findings:
🧵 1/6
Apple’s analytics data include an ID called “dsId”. We were able to verify that “dsId” is the “Directory Services Identifier”, an ID that uniquely identifies an iCloud account. Meaning, Apple’s analytics can personally identify you 👇 pic.twitter.com/3DSUFwX3nV

— Mysk 🇨🇦🇩🇪 (@mysk_co) November 21, 2022

Em alguns casos, esses dados analíticos aparentemente incluem detalhes sobre cada movimento do usuário. Os testes mostram que a análise para a App Store, por exemplo, inclui tudo o que você fez em tempo real, incluindo o que você tocou, quais aplicativos você procurou, quais anúncios você viu, e quanto tempo você olhou para um determinado aplicativo e como você o encontrou. Você pode ver os dados, que são enviados em tempo real, em um vídeo no canal da Mysk no YouTube logo abaixo.

App Store em iPhones observa cada movimento do usuário

No decorrer desses testes, os pesquisadores verificaram seu trabalho em dois dispositivos diferentes. Primeiro, eles usaram um iPhone quebrado na prisão rodando iOS 14.6, o que permitiu decodificar o tráfego e examinar exatamente quais dados estavam sendo enviados. A Apple introduziu uma configuração de privacidade no iOS 14.5, chamada de Transparência de Rastreamento de Aplicativos, que impede que outras empresas coletem os dados, dando aos usuários a decisão se devem ou não dar seus dados a aplicativos individuais por meio de um aviso na tela: “Pedir ao aplicativo para não rastrear?”.

Os pesquisadores também examinaram um iPhone comum rodando iOS 16, o mais recente sistema operacional, o que reforçou as descobertas. Os pesquisadores não puderam examinar exatamente quais dados foram enviados porque a criptografia do telefone permaneceu intacta, mas as semelhanças com os testes do telefone quebrado na prisão sugerem que os padrões encontrados podem ser o padrão no iPhone. Há poucos motivos para pensar que o telefone quebrado da cadeia enviaria dados diferentes, disseram eles, mas no iOS 16, eles viram os mesmos aplicativos enviando pacotes de dados semelhantes para os mesmos endereços web da Apple. Eles foram transmitidos ao mesmo tempo sob as mesmas circunstâncias; mesmo ativando ou desativando as configurações de privacidade disponíveis, nada mudou também.

É possível que a Apple processe dados DSID para abrigar detalhes de identificação pessoal quando a empresa recebe as informações, separando suas informações pessoais de outros dados. Mas não há como saber, porque até agora a Apple parece não estar disposta a explicar suas práticas. A empresa pode não utilizar os dados se você desativar as configurações de privacidade relacionadas, apesar de ainda recebê-los. No entanto, não é assim que a empresa explica o essas configurações fazem na política de privacidade.

Imagem: BigTunaOnline/Shutterstock

As conclusões são especialmente condenatórias, dados os anos que a Apple passou se vendendo como uma empresa de privacidade. As recentes campanhas de marketing sugerem que as práticas de privacidade da empresa são muito melhores comparadas às de outras empresas de tecnologia. Outdoors gigantes venderam o dispositivo com o slogan “Privacidade”. Isso é iPhone”, veiculando os anúncios em todo o mundo durante meses.

Sem qualquer esclarecimento sobre o que os testes da Mysk mostraram, a Apple se concentra em estabelecer um império publicitário próprio, construído sobre os dados pessoais de seus bilhões de usuários. Mesmo as próprias configurações de privacidade da empresa podem ser vistas como parte de um longo jogo para manter seus concorrentes publicitários reféns, embora a empresa negue veementemente essa acusação.

Por sua vez, os resultados são um choque pessoal para Tommy Mysk. No passado, “eu sempre permitiria que o aplicativo compartilhasse a análise com a Apple, porque quero ajudá-los”, disse Mysk. “Mas eu sempre assumi que os dados seriam enviados de forma anônima”.

Via Gizmodo