A Apple anunciou planos de exigir que os desenvolvedores submetam razões para usar certas APIs em seus aplicativos a partir do final deste ano com o lançamento do iOS 17, iPadOS 17, macOS Sonoma, tvOS 17 e watchOS 10 para evitar seu abuso para coleta de dados.
"Isso ajudará a garantir que os aplicativos usem essas APIs apenas para o seu propósito pretendido", disse a empresa em uma declaração.
"Como parte desse processo, você precisará selecionar uma ou mais razões aprovadas que reflitam precisamente como o seu aplicativo usa a API, e o seu aplicativo só poderá usar a API pelas razões que você selecionou."
As APIs que exigem razões para uso estão relacionadas ao seguinte:
- APIs de registro de data e hora do arquivo;
- APIs de tempo de inicialização do sistema;
- APIs de espaço em disco;
- APIs de teclado ativo;
- APIs de preferências do usuário.
O fabricante do iPhone disse que está fazendo a mudança para garantir que essas APIs não sejam abusadas por desenvolvedores de aplicativos para coletar sinais do dispositivo a fim de realizar identificação digital, que poderia ser usada para identificar unicamente os usuários em diferentes aplicativos e sites para outros propósitos, como publicidade direcionada.
A política de controle, que entra em vigor no outono de 2023 e também se estende ao visionOS, exigirá que os desenvolvedores que submetem novos aplicativos ou atualizações de aplicativos declarem as razões para usar essas "APIs de razão necessária" no manifesto de privacidade do aplicativo.
A partir da primavera de 2024, os aplicativos que não descrevem o uso das APIs em seu arquivo de manifesto de privacidade serão rejeitados.
"Independentemente de um usuário dar permissão ao seu aplicativo para rastrear, a identificação digital não é permitida", a Apple alerta explicitamente em sua documentação para desenvolvedores.
"Seu aplicativo ou SDK de terceiros deve declarar uma ou mais razões aprovadas que reflitam com precisão o uso de cada uma dessas APIs e os dados derivados do seu uso."
"Você pode usar essas APIs e os dados derivados do seu uso apenas para as razões declaradas.
Essas razões declaradas devem ser consistentes com a funcionalidade do seu aplicativo conforme apresentado aos usuários, e você não pode usar as APIs ou dados derivados para rastreamento."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...