Probabil că mulți utilizatori de iPhone cred că sunt mai în siguranță față de cei cu Android, mai ales când vine vorba de urmărire și colectare de date. Apple a construit o imagine destul de puternică în jurul confidențialității, cu tot felul de permisiuni, notificări și indicatoare vizuale pentru microfon sau cameră. Numai că există o metodă de urmărire despre care puțini știu și pe care nicio permisiune nu o oprește: device fingerprinting.
Mysk, o echipă de cercetare în domeniul confidențialității, tocmai a lansat o aplicație gratuită și open source numită Loupe, disponibilă pe iOS și iPadOS, care arată concret ce informații pot extrage aplicațiile din telefonul tău fără să te întrebe nimic. Nu e vorba de vreo vulnerabilitate sau breșă de securitate, ci de date pe care iOS le pune la dispoziție prin API-uri publice, accesibile oricărei aplicații din App Store.
Ideea din spatele fingerprinting-ului este simplă și un pic îngrijorătoare: nu ai nevoie de numele cuiva, de adresa de email sau de locație ca să-l identifici. Dacă combini suficiente detalii despre dispozitivul lui, ajungi la un profil unic care rămâne stabil indiferent dacă utilizatorul schimbă aplicațiile sau navighează pe internet. Zona temporală, limba setată, caracteristicile ecranului, informații despre baterie, senzorii disponibili pe acel model - fiecare în parte spune puțin, dar toate împreună spun enorm.
Loupe organizează datele expuse în trei categorii. Prima sunt informațiile pasive, cele pe care orice aplicație le poate citi fără nicio permisiune - setări de limbă, fusul orar, caracteristicile afișajului și altele de genul ăsta. A doua categorie include datele care necesită acordul explicit al utilizatorului, cum ar fi accesul la contacte, fotografii, locație sau calendar. Și a treia, mai interesantă, cuprinde tehnici mai avansate care exploatează API-uri publice în moduri mai puțin evidente, de exemplu verificarea schemelor URL prin canOpenURL sau examinarea datelor persistate în iOS Keychain chiar și după ce reinstalezi o aplicație.
Aplicația afișează valorile brute, exact așa cum le vede orice altă aplicație instalată pe telefon, fără să le agregeze sau să le anonimizeze. Mysk spune că toate datele rămân pe dispozitiv și nu sunt trimise nicăieri, cu excepția cazului în care utilizatorul alege să le exporte manual. Codul sursă este disponibil pe GitHub sub licența MIT, deci oricine poate verifica asta.
Loupe nu blochează nimic și nu este un instrument de protecție în sine. Este mai degrabă o lupă, cum îi spune și numele, prin care poți vedea ce se întâmplă de obicei în spatele scenei. Pentru cineva interesat de confidențialitate, e destul de șocant să realizezi că permisiunile din iOS reprezintă doar o parte din poveste și că o cantitate considerabilă de informații circulă fără nicio întrebare adresată utilizatorului.
Mysk este echipa care a lansat anterior și Psylo, un navigator axat pe confidențialitate pentru iPhone și iPad. De această dată, atenția lor s-a îndreptat spre un subiect mai puțin vizibil publicului larg și care, după părerea mea, merită mult mai multă atenție decât primește de obicei.
Comentarii