Blokowanie śledzenia użytkowników w iOS to fikcja? Firmy nadal gromadzą wiele danych

Na początku maja 2021 r. Apple wprowadził (wraz z aktualizacją systemu iOS do wersji 14.5) mechanizm o nazwie App Tracking Transparency (ATT). Jego idea polega na zwiększeniu prywatności użytkowników poprzez utrudnienie aplikacjom śledzenia zachowań użytkowników w sieci poza tymi programami. Nowe rozwiązanie wzbudziło energiczne protesty branży internetowej i reklamowej, według której wprowadzenie ATT niszczy podstawy biznesowe wielu podmiotów technologicznych.

Czytaj także: Po blokadzie śledzenia użytkowników w iOS reklamy ostro w dół. Rosną ceny w Androidzie

Dziurawy ATT

Teraz okazuje się, że mechanizm reklamowany przez Apple jako wyraz dbałości o prywatność użytkowników ma wiele wad. Tak wynika z badań przeprowadzonych przez naukowców z Uniwersytetu w Oksfordzie. Ich ustalenia sugerują, że ATT nie zawsze ogranicza ukradkowe zbieranie danych osobowych czy informacji o zachowaniach użytkowników.

Istotą ATT jest wymóg, aby użytkownicy klikali przycisk Zezwól, który pojawia się po zainstalowaniu aplikacji. W oknie system zadaje pytanie o to, czy pozwolić aplikacji na śledzenie aktywności użytkownika w programach i witrynach internetowych zewnętrznych firm. Bez tej zgody aplikacja nie może uzyskać dostępu do tzw. IDFA (Identifier for Advertisers), czyli unikatowego identyfikatora, który iOS generuje, aby móc śledzić użytkowników w innych zainstalowanych aplikacjach.

W opublikowanych dokumentach stwierdzono jednak, że chociaż ATT pod wieloma względami działa zgodnie z założeniami, to luki w systemie dają firmom, zwłaszcza dużym, takim jak Google i Facebook, możliwość obchodzenia zabezpieczeń i gromadzenia jeszcze większej ilości danych. Badacze ostrzegają również, że pomimo obietnicy Apple dotyczącej większej przejrzystości, ATT może dać wielu użytkownikom fałszywe poczucie bezpieczeństwa.

- Ogólnie rzecz biorąc, nasze obserwacje wskazują, że choć zmiany wprowadzone przez Apple utrudniają śledzenie indywidualnych użytkowników, motywują one do przeciwnych ruchów i wzmacniają istniejącą pozycję rynkową Big Techów, które mają dostęp do dużych ilości danych – stwierdzają naukowcy.

Podstępne aplikacje

Badacze zidentyfikowali także dziewięć aplikacji na iOS wykorzystujących kod po stronie serwera do generowania identyfikatora użytkownika, który spółka zależna chińskiej firmy technologicznej Alibaba może wykorzystać do śledzenia innych aplikacji.

Eksperci ustalili również, że w wielu przypadkach Apple nie jest zobowiązany do przestrzegania ustalonych przez siebie zasad, co umożliwia mu dalsze zwiększanie ilości gromadzonych danych. Zauważyli, że Apple wyłącza z regulaminu np. śledzenie w celu „uzyskania informacji na temat zdolności kredytowej konsumenta w konkretnym celu podjęcia decyzji finansowych”.

To nie wszystko. Z porównania 1685 aplikacji opublikowanych przed, i po wejściu w życie ATT wynika, że liczba wykorzystywanych przez nie bibliotek śledzących pozostała mniej więcej taka sama. Najczęściej używane biblioteki - w tym SKAdNetwork firmy Apple, Google Firebase Analytics i Google Crashlytics - nie zmieniły się. Prawie jedna czwarta badanych aplikacji informuje użytkowników, że nie zbiera o nich żadnych danych, ale większość z nich - 80 proc. - korzystała z co najmniej jednej biblioteki śledzącej.

Czytaj także: iPhone’y pojawią się w ofercie sieci Plus

- Z naszych ustaleń wynika, że firmy, zwłaszcza te większe, które mają dostęp do dużych zasobów danych, nadal śledzą użytkowników za kulisami - wnioskują naukowcy. - Mogą to robić za pomocą różnych metod, w tym wykorzystując adresy IP do łączenia identyfikatorów specyficznych dla instalacji w różnych aplikacjach, oraz poprzez funkcje logowania oferowane przez poszczególne programy (np. logowanie przez Google lub Facebook, albo adres e-mail). Szczególnie w połączeniu z innymi cechami użytkownika i urządzenia, które - jak potwierdzają nasze dane - są nadal powszechnie gromadzone przez firmy śledzące, możliwa byłaby analiza zachowań użytkowników w różnych aplikacjach i witrynach internetowych (tj. fingerprinting i śledzenie kohortowe). Bezpośrednim skutkiem wprowadzenia ATT może być więc wzmocnienie istniejącej nierównowagi sił w ekosystemie cyfrowego śledzenia.

Badacze na potwierdzenie swoich słów podają przykład Umeng, spółki zależnej koncernu Alibaba, która wykorzystuje swój kod po stronie serwera do udostępniania aplikacjom identyfikatora pochodzącego z fingerprintingu. Zgodnie z badaniem wykorzystanie takich danych stanowi naruszenie zasad firmy Apple i rodzi pytania o to, w jakim stopniu firma jest w stanie egzekwować swoje reguły.

Zdaniem badaczy, ATT może ostatecznie zachęcić do przeniesienia technologii śledzenia za kulisy, tak aby znalazły się one poza zasięgiem Apple. Innymi słowy, nowe zasady mogą doprowadzić do jeszcze mniejszej przejrzystości w zakresie śledzenia niż obecnie.