Apple kwam vorige week met nieuwe regels om device fingerprinting tegen te gaan, maar in de praktijk blijkt dat de apps van Facebook, Google, Instagram, Spotify en Threads zich hier niet aan te houden, zo stellen onderzoekers Talal Haj Bakry en Tommy Mysk. Door de regels niet te handhaven geeft Apple gebruikers een vals gevoel van privacy, aldus het duo.

Eind april kondigde Apple aan dat vanaf 1 mei strengere regels gaan gelden voor apps. Zo moeten app-ontwikkelaars laten weten waarom ze gebruikmaken van API's (application programming interfaces) waarmee unieke 'apparaatsignalen' zijn te verzamelen. Via dergelijke data is het mogelijk om een unieke fingerprint van het apparaat van de gebruiker te maken en die zo over verschillende apps van verschillende ontwikkelaars te volgen.

Apple zal apps die het gebruik van dergelijke API's niet in hun privacymanifest beschrijven weigeren. Bakry en Mysk ontdekten dat Facebook, Google Chrome, Instagram, Spotify en Threads zich niet aan hun verklaarde redenen houden. Voor hun onderzoek analyseerden de onderzoekers het netwerkverkeer van deze apps na 1 mei. Daarbij keken ze specifiek naar de API waarmee de boot time of system uptime wordt verzameld. "Gecombineerd met andere signalen is het met de system uptime mogelijk om een zeer nauwkeurige fingerprint van een toestel te maken."

In de door Apple goedgekeurde redenen voor het verzamelen van informatie wordt aangegeven dat de data niet vanaf het toestel naar andere partijen mag worden gestuurd, maar dat blijken de genoemde apps nog altijd wel te doen. Volgens de onderzoekers is het een goede start in het stoppen van fingerprinting om ontwikkelaars te verplichten waarom ze de API's willen gebruiken. "Het geeft alleen een vals gevoel van privacy. Apple heeft geen mechanisme om te handhaven wat ontwikkelaars verklaren", besluiten de onderzoekers.