Un ricercatore di sicurezza ha scoperto che i dati di analisi Apple vengono raccolti e inviati dagli iPhone, indipendentemente dal fatto che gli utenti abbiano acconsentito o meno durante il processo di configurazione. La quantità di dati raccolti è stata descritta dal ricercatore come “scioccante”.
È già partita la causa collettiva secondo cui le promesse sulla privacy di Apple sono “completamente illusorie”. La scoperta è stata fatta dallo sviluppatore e ricercatore di sicurezza Tommy Mysk, che in precedenza ha scoperto che molte app Apple bypassano le connessioni VPN quando inviano dati ad Apple.
Lo sviluppatore ha eseguito i suoi test guardando a quali indirizzi IP si accedeva quando una VPN era attiva, e ha scoperto che molte app Apple di serie ignoravano il tunnel VPN e comunicavano invece direttamente con i server Apple. Questo significa che tutti i dati inviati da e verso questi server sono a rischio di snooping da parte di ISP o hacker che gestiscono attacchi man-in-the-middle, utilizzando hotspot Wi-Fi falsi facili da creare.
Mysk è lo stesso ricercatore che ha precedentemente scoperto che l’app Mail di Apple Watch non utilizzava la funzione Mail Privacy Protection. Apple successivamente ha dichiarato di aver risolto il problema.
Adesso, la problematica riguarderebbe dati analitici inviati da Apple anche senza consenso dell’utente, a prescindere dalle scelte operate in fase di impostazione di un nuovo iPhone. Anche se si rifiuta il consenso Mysk ha scoperto che le app Apple continuano a raccogliere e inviare questi dati. Mysk ha inizialmente trovato questo comportamento nell’app App Store:
Le recenti modifiche che Apple ha apportato agli annunci di App Store dovrebbero sollevare molte preoccupazioni sulla #privacy. Sembra che l’app #AppStore su iOS 14.6 invii ogni tocco che fai nell’app ad Apple.
Mentre l’utente naviga nell’app App Store, i dati di utilizzo dettagliati vengono inviati contemporaneamente ad Apple. I dati contengono ID per mappare il comportamento a un profilo. Mysk ha affermato che sia il volume che i dettagli dei dati sarebbero eccessivi anche nel caso in cui l’utente dia il consenso, in quanto includono tutto il necessario per il rilevamento dell’impronta digitale del dispositivo, una tecnica utilizzata da aziende come Meta come soluzione per aggirare la trasparenza Apple del monitoraggio delle app.
Dopo App Store, Mysk ha controllato anche altre app Apple, rilevando lo stresso comportamento anche per Apple Music, Apple TV, Libri e Borsa. Ad esempio, l’app Borsa condivide con Apple le azioni osservate dall’utente, così come i nomi di altre azioni cercate e visualizzate, insieme agli articoli di notizie letti nell’app.
Sulla base di queste scoperte è stata avviata una azione legale collettiva contro Apple per violazione del California Invasion of Privacy Act. Per il momento Apple non ha rilasciato dichiarazioni al riguardo.
