Cómo Apple rompió el reconocimiento de huellas dactilares en iOS 16

Sin embargo, cuando las empresas de tecnología publicitaria toman huellas dactilares a través del SDK, lo hacen en la aplicación del cliente. Apple también puede ver esto en las revisiones de aplicaciones, pero para controlarlo, debe rechazar las actualizaciones de los desarrolladores de aplicaciones que no han hecho nada malo. Esta sería una solución complicada, especialmente porque todas las aplicaciones en la App Store se ejecutan como cualquier aplicación de tipo empresarial que contiene al menos un SDK que actualmente está siendo identificado. Apple castigará a los desarrolladores de aplicaciones por las infracciones cometidas por las empresas de tecnología publicitaria a las que pagan.

Apple se enfrenta a un dilema en la regulación de las huellas dactilares: para hacer cumplir por completo las restricciones de la ATT sobre las huellas dactilares, Apple debe restablecer su política desde principios de abril de 2021, que requiere rechazar las actualizaciones de aplicaciones que incluyen el SDK de MMP (aparentemente) como una violación de la política de la plataforma. El incidente fue extremadamente disruptivo para el ecosistema de aplicaciones y solo estuvo involucrado un MMP.

Mi sensación en ese momento era que Apple estaba enviando un mensaje claro a la categoría de tecnología publicitaria móvil de que una vez que se implementara ATT, no se tolerarían las huellas dactilares. Pero con gran parte del ecosistema de tecnología publicitaria enfrentando una amenaza existencial de AT&T, estas compañías no tienen más remedio que continuar tomando huellas digitales, mientras que Apple enfrenta el dilema de «no puedes despedirnos a todos».Es decir: como disposición de política, no existe un mecanismo directo prevención Dejando a un lado las amenazas, la prohibición de ATT de tomar huellas dactilares es casi imposible de hacer cumplir.

Apple reconoció esto cuando trabajó con la Autoridad de Mercados y Competencia del Reino Unido en un informe reciente del regulador sobre el ecosistema móvil, que describo en un artículo. hilo de twitterDel informe (página 14 del Anexo I):

Ha habido informes de que Apple puede tener dificultades para hacer cumplir completamente esta política. En particular, aprendimos que Apple no tiene medios técnicos obvios para saber qué datos usan las empresas de tecnología publicitaria (aparte de IDFA, que no proporciona), si podrían estar «tomando huellas digitales» y qué nuevas soluciones técnicas podrían adoptar. Encontrado sin IDFA. De hecho, un estudio realizado por el desarrollador de software de privacidad Lockdown descubrió que muchas aplicaciones parecen continuar participando en el seguimiento de terceros cuando los usuarios optan por no recibir avisos de ATT.

Discutí la situación de Apple Entrevista con Ben Thompson sobre Stratechery: La categoría de tecnología publicitaria móvil, apodada el farol de Apple, actualmente está realizando huellas dactilares con aplomo. Pero debido a la naturaleza efímera de las identidades basadas en IP, la toma de huellas dactilares no permite perfiles de comportamiento.

Entonces, si bien la toma de huellas dactilares socava los mensajes de Apple sobre la privacidad, su mecánica es tan esotérica que nadie solo ve «Comprender la iniciativa ATT».comercialRealmente me importaría Sin una forma limpia y elegante de evitar las huellas dactilares, Apple podría hacer la vista gorda, especialmente porque se ha realizado una de sus principales motivaciones para ATT.

Pero, ¿puede Apple presentar una forma limpia y elegante de evitar las huellas dactilares? El entorno de pruebas de privacidad de Android lanzado recientemente por Google proporciona alguna orientación.

como supuse Predicciones de iOS 16 publicadas la semana pasada, creo que Apple podría tomar prestado el concepto SDK Runtime del Privacy Sandbox de Google para Android para obligar al SDK a ejecutarse en un entorno separado de la aplicación que lo contiene. Esto tiene dos beneficios. En primer lugar, el SDK autoevaluará el cumplimiento de ATT, posiblemente a través de un proceso de «revisión de la aplicación» separado (como se involucra en la funcionalidad de tiempo de ejecución del SDK del relé específico de Android), por lo que Apple no necesita penalizar a los desarrolladores de aplicaciones por confiar en no -Cumplimiento de los servicios de tecnología publicitaria. En segundo lugar, los datos que emanan de estos SDK aislados pueden pasar a través del sistema Private Relay de Apple, lo que significa que la dirección IP del usuario se ofuscará, lo que imposibilitará la toma de huellas dactilares con precisión útil.

Los relés dedicados transmiten datos desde dispositivos a través de una arquitectura de dos saltos que se hace pasar por la dirección IP del usuario para que ni el destino del sitio web ni el primer o segundo salto puedan coordinarlo. Actualmente, se aplica al tráfico de Safari en el iPhone y al tráfico sin cifrar en las aplicaciones.De las conversaciones con muchos ingenieros de red sobre el tema, parece que la mayor parte del tráfico en la aplicación que no es de aplicaciones puede provenir de la sensibilidad a los costos: costos de funcionamiento prohibitivamente altos. todos Tráfico en la aplicación a través de este sistema. Sin embargo, solo ejecutar los datos generados desde el SDK de tecnología publicitaria a través de Private Relay reduce significativamente los costos.

Tenga en cuenta que no está claro cómo funcionaría esta solución hipotética en la práctica. Para el tráfico de red, según Apple EspecificaciónConsulta de retransmisión privada Lista de rastreadores conocidos publicados por DuckDuckGo Al hacer una conexión directa. El mismo enfoque también se puede aplicar al entorno de SDK: si el SDK se coloca en la lista «SDK de tecnología publicitaria conocida», lo que significa que se usa para orientar o publicar anuncios, la conexión puede ejecutarse a través de Private Relay.como Alex Ball tuiteó, un enfoque que refleja cómo ITP y Private Relay ofuscan las direcciones IP, y es consistente con el retraso de aproximadamente 12 meses entre el lanzamiento de la característica de privacidad de Safari y su aplicación equivalente. ITP tiene una «Ocultar la dirección IP de los rastreadores» Configuración de Safari, no necesita usar iCloud+, al igual que Private Relay.

Independientemente del formato, la prevención de huellas dactilares en iOS 16 será la próxima opción para AT&T: Permitirá a Apple cumplir su promesa a los consumidores de proteger su privacidad sin revisiones importantes ni extensiones extrajudiciales. proceso. Dar el siguiente paso tiene mucho sentido, incluso lo llamaría una prioridad. Si Apple quiere impulsar el ecosistema móvil hacia un nuevo paradigma de medición de anuncios, debe tapar lagunas como la toma de huellas dactilares que utilizan parámetros del dispositivo que durante mucho tiempo se consideraron PII y que requieren consentimiento para ser tratados. Si una empresa va a tener una política de privacidad amplia e integral, que es AT&T, entonces esa política no debe ser anulada por la tecnología omnipresente que existió más o menos públicamente antes de que se publicara la política.