Ci sono sviluppi sull’indagine che il ricercatore di sicurezza Tommy Mysk sta portando avanti nei confronti di Apple e delle sue pratiche relative alla privacy: a quanto pare tra i dati raccolti (anche se l’utente nega il proprio consenso) c’è un codice che permette di identificare in modo univoco un utente, al contrario di ciò che promette la Mela stessa.
La volta scorsa Mysk aveva pubblicato un video su YouTube; questa volta si è limitato a un thread di sei messaggi su Twitter. Prima di aggiornarvi con le novità, un brevissimo recap di quanto era emerso in precedenza: Mysk di fatto accusava l’App Store (e diverse altre app preinstallate, come Azioni, Mappe, Libri, Music e TV) di raccogliere molti dati, probabilmente per fine analitico, anche se durante la configurazione iniziale di un dispositivo l’utente sceglieva espressamente di non condividerli.
Questo sembra in chiaro contrasto con quanto detto non solo a livello pubblicitario più e più volte (e, più in generale, con l’immagine di paladina della privacy su cui la società spinge molto da qualche anno a questa parte), ma anche di disclaimer e note legali ufficiali.
Le nuove informazioni emerse sembrano aggravare ulteriormente la posizione di Apple, perché Mysk ha scoperto che tra le informazioni inviate ad Apple dall’App Store c’è anche un codice che viene definito DSID.
Secondo Mysk, questo DSID (“Directory Services Identifier) viene associato in modo univoco a un account iCloud, quindi è tecnicamente possibile che Apple sia in grado di identificare il singolo individuo a partire da questi dati.
Anche qui, si osserva come le policy sulla privacy ufficiali (vedi screenshot subito sopra, a titolo esemplificativo) sembrano suggerire tutt’altro.
Si è dimostrato come, effettivamente, il DSID sia mostrato in un record insieme a informazioni chiaramente personali come il nome completo e l’indirizzo email del proprio Apple ID. Mysk dice che tutti i report analitici inviati dai dispositivi ad Apple (anche, ripetiamo, quando l’utente ha scelto di non attivarne la condivisione) contengono sempre un DSID.
Come sappiamo è già stata depositata una class action negli Stati Uniti, tuttavia è un dato che di per sé vale poco – quella delle class action è una pratica molto diffusa da quelle parti, diciamo così.
La realtà è che al momento è decisamente presto per trarre delle conclusioni definitive; detto questo, sempre Mysk osserva che l’operato di Apple non sembra solo una violazione delle promesse fatte ai propri utenti, ma anche della legge sulla privacy europea (o GDPR) secondo cui gli utenti devono sempre avere la possibilità di non condividere alcun dato, nemmeno analitico.
Sarà interessante capire se Apple risponderà pubblicamente e che cosa dirà, e se si mobiliteranno altre parti intenzionate a vederci più chiaro; sappiamo per esempio che la Commissaria per la concorrenza UE Margrethe Vestager non ha certo paura di sfidare i grandi colossi tech – Apple stessa inclusa.
Al momento rimane anche un altro grosso interrogativo: non sappiamo che cosa succeda ai dati una volta che arrivano ad Apple.