Due ricercatori hanno denunciato il fatto che Facebook e le altre app nell’alveo di Meta starebbero eludendo la policy privacy imposta da Apple agli sviluppatori che producono app per l’Apple Store.

Quando Apple annunciò le nuove regole privacy per propri dispositivi, Facebook andò alla guerra: Zuckerberg commissionò addirittura una campagna contro Apple, comprando 3 pagine sui principali quotidiani statunitensi e aprendo un sito per l’occasione. L’accusa era che “Apple sta adottando un comportamento anti-concorrenziale usando il proprio controllo dell’App Store a vantaggio del proprio profitto e a scapito dell’piccole imprese“.

Una delle pagine acquistate da Facebook sui quotidiani statunitensi per la campagna anti Apple

Il sistema ATT e le perdite economiche dei competitor di Apple
Da parte sua Apple ha fondamentalmente obbligato gli sviluppatori di applicazioni per l’Apple Store a creare un etichetta che specifichi in dettaglio agli utenti come saranno usati i dati raccolti, per quanto tempo saranno conservati e per quali finalità. Le informazioni privacy sono state divise in tre diverse schede disponibili per l’utente ovvero:

• i dati usati per tracciare l’utente, usati a fini pubblicitari collegando le informazioni sulla persona o sul dispositivo raccolti da un app con i dati raccolti da altre app o siti;
• i dati collegati alla persona, all’account, al dispositivo, all’identità o alla cronologia i navigazione;
• i dati non collegati alla persona.

Il nuovo sistema privacy, chiamato App Tracking Transparency (ATT) è stato annunciato lo scorso Aprile e, va detto, dalle parti di Facebook avevano visto giusto: ammonta a quasi 10 miliardi di dollari la riduzione dei ricavi che l’ATT ha comportato per Facebook, Snapchat, Twitter e Youtube. Facebook ha perfino registrato un calo del 5% in borsa perchè gli inserzionisti hanno lamentato costi pubblicitari aumentati a fronte di importanti picchi negativi rispetto alle prestazioni dell’advertising su iOS.

Gli inserzionisti, di contro, hanno deciso di investire meno in pubblicità sulle app per iOS, dirottando molti investimento verso il sistema operativo Android che ha regole privacy molto diverse e più profittevoli.

Per approfondire > Facebook VS Apple: per il social la nuova Policy Privacy della Mela è troppo stringente e depotenzierà l’advertising

Secondo due ricercatori, Facebook sta violando l’ATT
Due ricercatori di sicurezza, Talal Haj Bakry e Tommy Mysk, hanno pubblicato un post di denuncia su Twitter ripreso poi da molti e importanti giornali e siti di settore: stando alle loro ricerche Facebook starebbe aggirando i limiti imposti dall’ATT.

Partiamo dall’inizio: i dispositivi Apple hanno un hardware dedicato alla geolocalizzazione del dispositivo (e quindi dell’utente che lo usa): questo hardware è il cosiddetto accelerometro, un insieme di sensori dedicati a misurare vibrazioni e accelerazione di movimento del dispositivo. Hardware simili non sono peculiarità di Apple anzi. Sono presenti in tutti gli smartphone e sono ad esempio quelli che consentono al dispositivo di ruotare lo schermo, contare i passi dell’utente ecc…

Secondo quanto denunciato, le app Facebook, Instagram e (in parte) anche Whatsapp hanno un accesso continuativo a questo hardware, a prescindere dal fatto che l’utente abbia disabilitato la funzione tramite iOS o tramite le impostazioni delle app di proprietà di Meta. Conseguenze: Facebook può monitorare gli spostamenti dell’utente durante la giornata. Sul punto, rincarano la dose , sembra che sia del tutto inutile disabilitare il tracciamento della posizione dalle impostazioni interne dell’app Facebook

I due ricercatori specificano comunque che Facebook e le altre app di Meta possono ricavare non solo i dati di geolocalizzazione, ma eseguire anche mix con altri dati grazie all’accesso all’accelerometro.

Quali informazioni può (potenzialmente) raccogliere Facebook con questo sistema?
Il tema si fa sempre più inquietante se mettiamo a elenco i dati che Facebook può raccogliere anche incrociando più fonti: oltre alla localizzazione, il solo accesso all’accelerometro può consentire di individuare la posizione del corpo dell’utente nonché alcuni suoi comportamenti nello spazio fisico. Potrebbe addirittura ricavare ulteriori informazioni sull’utente confrontandoli coi dati raccolti da un altro utente presente nello stesso spazio fisico. Cosa significa? Se un utente ha disabilitato la geolocalizzazione, Facebook potrebbe comunque geolocalizzarlo sfruttando i dati provenienti dall’accelerometro e dal barometro interni al dispositivo Apple: una volta individuato che due utenti sono nello stesso spazio fisico, geolocalizzato uno si può geolocalizzare l’altro. E’ un semplice semplice incrocio di dati.

Infine questi hardware possono rivelare battito cardiaco e frequenza respiratoria: è la tecnologia che sta alla base di tutte le app per il fitness, degli smart watch e così via… Questa è un ulteriore raccolta dati, in dettaglio di dati biometrici sensibili per i quali il GDPR prevede tutela rafforzata.

Per approfondire > App sulla salute: uno studio su 20.000 app rivela gravi problematiche su privacy e trattamento dati
Per approfondire > la corsa alla raccolta dei dati sanitari da parte delle Big Tech: il caso Google

La denuncia dei due ricercatori dice il vero?
Ad ora non esiste un procedimento ad opera di una qualche Authority, europea o estera, per valutare la veridicità di quanto dichiarato da Talal Haj Bakry e Tommy Mysk (i quali comunque hanno portato tutto il necessario a supporto della propria tesi). In attesa che la denuncia smuova qualche indagine, c’è un precedente che è utile sottolineare: nel corso di una causa presso l’antitrust statunitense è emerso che Facebook e Google hanno collaborato fin dal 2020 per eludere la politica privacy ATT adottata da Apple. Scopo questa collaborazione è quello di continuare a raccogliere dati dal browser Safari anche di quegli utenti che hanno negato il consenso ai cookie: l’elusione avviene sfruttando il browser fingerprint.