Pesquisadores de segurança descobriram recentemente que os dados de comportamento do usuário coletados pela Apple na função de pesquisa da App Store são extremamente detalhados, registrando quase todas as “teclas” do usuário na caixa de pesquisa, incluindo informações como ritmo de entrada e duração da pausa, e os usuários não podem optar por desligar esse comportamento de coleta de dados.
A descoberta foi divulgada pela primeira vez na plataforma social X em 9 de junho pela equipe de pesquisa de segurança Mysk. Os pesquisadores analisaram os dados analíticos que os aplicativos da App Store enviam de volta à Apple quando os usuários pesquisam e mostraram um exemplo de captura de tela do processo completo de digitação do termo de pesquisa “Tim Cook” dividido em dez registros com carimbo de data e hora, cada registro correspondendo a uma letra da entrada do usuário, com precisão de fração de segundo. Por meio desses dados, a Apple pode não apenas ver cada estado intermediário do usuário, de "T" e "Ti" até "Tim Cook", mas também calcular o tempo total que o usuário leva para inserir uma palavra e os intervalos entre caracteres, inferindo assim indiretamente características comportamentais, como velocidade de digitação.
Além das teclas digitadas literalmente, esses registros também incluem informações sobre a guia da App Store em que o usuário estava no momento, bem como dados ambientais, como a versão do sistema operacional que o dispositivo está executando. Em resposta a perguntas externas, Mysk enfatizou que esses dados pertencem a informações de análise de aplicativos enviadas à Apple e não são dados de interface usados para retornar resultados de associação de pesquisa em tempo real. Em outras palavras, o que a Apple recebe é uma cópia completa do próprio processo de entrada do usuário, não uma lista de resultados de pesquisa. Os pesquisadores também apontaram que os usuários podem solicitar a exportação dos dados da App Store associados às suas contas por meio do site de privacidade da Apple para verificar seu conteúdo.
De uma perspectiva funcional, alguma recolha de dados é considerada “certamente necessária”. Quando um usuário insere um termo de pesquisa na App Store, o aplicativo irá gerar sugestões de pesquisa em tempo real com base em parte da string inserida no momento. A partir da primeira letra, a lista de sugestões será atualizada sempre que a string for alterada, o que exige que o sistema entenda o texto específico inserido no momento pelo usuário. No entanto, os investigadores acreditam que o problema é que estes registos de entrada literais não são apenas utilizados em tempo real, mas também são armazenados a longo prazo numa forma altamente granular e associados a utilizadores específicos, o que é uma retenção de dados que "não é necessária", para além de permitir a associação de pesquisa.
Mysk também apontou que os usuários atualmente não têm como desativar o upload desses dados de análise comportamental, nem podem ignorar o armazenamento de dados relacionados por meio das configurações. Fora de alguns mercados, como a UE, devido à falta de opções obrigatórias de lojas de aplicativos de terceiros, muitos usuários só podem contar com a App Store oficial da Apple para obter aplicativos iOS. Naturalmente, eles não podem contornar esse tipo de mecanismo de coleta de dados alterando os canais de distribuição de aplicativos. Em regiões com lojas de aplicativos de terceiros, diferentes plataformas terão suas próprias políticas de privacidade e regras de coleta de dados. No entanto, na grande maioria dos países e regiões que só permitem a utilização da loja oficial da Apple, os utilizadores encontram-se basicamente numa situação de “sem escolha”.
Do ponto de vista da utilização global de dados, o relatório acredita que, em comparação com a plataforma de publicidade na Internet mais comercial, esta questão ainda é um nível "relativamente menor" no enorme cenário de recolha e análise de dados da Apple. Atualmente, a Apple não vende ou segmenta diretamente os dados do usuário como sua principal fonte de receita, como algumas empresas que dependem de publicidade para monetização. Isto enfraqueceu, até certo ponto, as preocupações do mundo exterior sobre a utilização de dados tão refinados para a segmentação comercial. No entanto, o fato de a Apple poder inferir e salvar com precisão a velocidade de digitação de cada usuário, o ritmo de pesquisa e outras características comportamentais sutis ainda deixa os defensores da privacidade desconfortáveis. No jogo a longo prazo da protecção da privacidade, este é considerado outro perigo potencial que requer atenção contínua.