A Apple estabelece novas regras para desenvolvedores para prevenir a identificação digital e o uso indevido de dados
31 de Julho de 2023

A Apple anunciou planos de exigir que os desenvolvedores submetam razões para usar certas APIs em seus aplicativos a partir do final deste ano com o lançamento do iOS 17, iPadOS 17, macOS Sonoma, tvOS 17 e watchOS 10 para evitar seu abuso para coleta de dados.

"Isso ajudará a garantir que os aplicativos usem essas APIs apenas para o seu propósito pretendido", disse a empresa em uma declaração.

"Como parte desse processo, você precisará selecionar uma ou mais razões aprovadas que reflitam precisamente como o seu aplicativo usa a API, e o seu aplicativo só poderá usar a API pelas razões que você selecionou."

As APIs que exigem razões para uso estão relacionadas ao seguinte:

- APIs de registro de data e hora do arquivo;
- APIs de tempo de inicialização do sistema;
- APIs de espaço em disco;
- APIs de teclado ativo;
- APIs de preferências do usuário.

O fabricante do iPhone disse que está fazendo a mudança para garantir que essas APIs não sejam abusadas por desenvolvedores de aplicativos para coletar sinais do dispositivo a fim de realizar identificação digital, que poderia ser usada para identificar unicamente os usuários em diferentes aplicativos e sites para outros propósitos, como publicidade direcionada.

A política de controle, que entra em vigor no outono de 2023 e também se estende ao visionOS, exigirá que os desenvolvedores que submetem novos aplicativos ou atualizações de aplicativos declarem as razões para usar essas "APIs de razão necessária" no manifesto de privacidade do aplicativo.

A partir da primavera de 2024, os aplicativos que não descrevem o uso das APIs em seu arquivo de manifesto de privacidade serão rejeitados.

"Independentemente de um usuário dar permissão ao seu aplicativo para rastrear, a identificação digital não é permitida", a Apple alerta explicitamente em sua documentação para desenvolvedores.

"Seu aplicativo ou SDK de terceiros deve declarar uma ou mais razões aprovadas que reflitam com precisão o uso de cada uma dessas APIs e os dados derivados do seu uso."

"Você pode usar essas APIs e os dados derivados do seu uso apenas para as razões declaradas.

Essas razões declaradas devem ser consistentes com a funcionalidade do seu aplicativo conforme apresentado aos usuários, e você não pode usar as APIs ou dados derivados para rastreamento."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...