iOS-приложения по-прежнему могут тайно отслеживать пользователей

[Artifact]

App Tracking Transparency не всегда препятствует скрытому сбору личных данных или цифровых отпечатков пользователей.

В прошлом году Apple ввела обязательную политику прозрачности отслеживания приложений (App Tracking Transparency, ATT), которая запрещает производителям приложений отслеживать действия пользователей в других программах без предварительного получения явного разрешения. Защитники конфиденциальности высоко оценили эту инициативу, однако результаты исследования , проведенного экспертами из Оксфордского университета, опровергли заявления техногиганта. ATT не всегда препятствует скрытому сбору личных данных или цифровых отпечатков пользователей.
Согласно ATT, без пользовательского согласия приложение не может получить доступ к так называемому уникальному идентификатору для рекламодателей (The Identifier for Advertisers, IDFA), который iOS или iPadOS назначает для отслеживания пользователей в других установленных приложениях. В то же время Apple также начала требовать от производителей приложений предоставлять «метки конфиденциальности», в которых указывалось, какие типы данных о пользователях и устройствах они собирают, а также как эти данные используются.
По словам исследователей, хотя ATT во многих отношениях работает так, как предполагалось, лазейки в структуре также дали возможность компаниям, особенно крупным, таким как Google и Facebook, обойти средства защиты и накапливать еще больше данных. Несмотря на обещание Apple большей прозрачности, ATT может дать многим пользователям ложное чувство безопасности.
Исследователи также выявили девять приложений для iOS, использовавшие код на стороне сервера для создания общего идентификатора пользователя, который дочерняя компания Umeng китайского техногиганта Alibaba может использовать для отслеживания между приложениями.
Эксперты сравнили 1685 приложений, опубликованных до и после вступления в силу ATT, и пришли к выводу, что количество используемых ими библиотек отслеживания осталось примерно одинаковым. Наиболее широко используемые библиотеки, в том числе SKAdNetwork от Apple, Google Firebase Analytics и Google Crashlytics, не изменились. Почти четверть приложений якобы не собирают никаких пользовательских данных, но большинство из них (80%) содержали как минимум одну библиотеку трекеров.
Компании по отслеживанию, особенно крупные, имеющие доступ к большому объему информации из первых рук, по-прежнему тайно отслеживают пользователей. Они могут сделать это с помощью ряда методов, включая использование IP-адресов для связывания конкретных идентификаторов установки между приложениями и с помощью функций авторизации различных приложений.