Los investigadores de seguridad descubrieron recientemente que los datos de comportamiento del usuario recopilados por Apple en la función de búsqueda de la App Store son extremadamente detallados y registran casi cada "pulsación de tecla" del usuario en el cuadro de búsqueda, incluida información como el ritmo de entrada y la duración de la pausa, y los usuarios no pueden optar por desactivar este comportamiento de recopilación de datos.
El descubrimiento fue revelado por primera vez a través de la plataforma social X el 9 de junio por el equipo de investigación de seguridad Mysk. Los investigadores analizaron los datos analíticos que las aplicaciones de la App Store envían a Apple cuando los usuarios realizan búsquedas y mostraron una captura de pantalla de ejemplo del proceso completo de escribir el término de búsqueda "Tim Cook" dividido en diez registros con marca de tiempo, cada registro correspondiente a una letra de la entrada del usuario, con una precisión de una fracción de segundo. A través de estos datos, Apple no sólo puede ver cada estado intermedio del usuario desde "T" y "Ti" hasta "Tim Cook", sino también calcular el tiempo total que le toma al usuario ingresar una palabra y los intervalos entre caracteres, infiriendo así indirectamente características de comportamiento como la velocidad de escritura.
Además de las pulsaciones de teclas palabra por palabra, estos registros también incluyen información sobre la pestaña de la App Store en la que se encontraba el usuario en ese momento, así como datos ambientales como la versión del sistema operativo que ejecuta el dispositivo. En respuesta a preguntas externas, Mysk enfatizó que estos datos pertenecen a información de análisis de aplicaciones enviada a Apple y no son datos de interfaz utilizados para devolver resultados de asociación de búsqueda en tiempo real. En otras palabras, lo que Apple recibe es una copia completa del proceso de entrada del usuario, no una lista de resultados de búsqueda. Los investigadores también señalaron que los usuarios pueden solicitar exportar dichos datos de la App Store asociados con sus cuentas a través del sitio web de privacidad de Apple para verificar su contenido.
Desde una perspectiva funcional, cierta recopilación de datos se considera "ciertamente necesaria". Cuando un usuario ingresa un término de búsqueda en la App Store, la aplicación generará sugerencias de búsqueda en tiempo real basadas en parte de la cadena ingresada actualmente. A partir de la primera letra, la lista de sugerencias se actualizará cada vez que cambie la cadena, lo que requiere que el sistema comprenda el texto específico ingresado actualmente por el usuario. Sin embargo, el problema, creen los investigadores, es que estos registros de entrada palabra por palabra no sólo se utilizan en tiempo real, sino que también se almacenan a largo plazo en una forma muy granular y se asocian con usuarios específicos, lo que supone una retención de datos que "no es necesaria" más allá de permitir la asociación de búsqueda.
Mysk también señaló que los usuarios actualmente no tienen forma de desactivar la carga de estos datos de análisis de comportamiento, ni pueden evitar el almacenamiento de datos relacionados a través de la configuración. Fuera de algunos mercados como la UE, debido a la falta de opciones obligatorias de tiendas de aplicaciones de terceros, muchos usuarios sólo pueden confiar en la App Store oficial de Apple para obtener aplicaciones de iOS. Naturalmente, no pueden eludir este tipo de mecanismo de recopilación de datos cambiando los canales de distribución de aplicaciones. En regiones con tiendas de aplicaciones de terceros, las diferentes plataformas tendrán sus propias políticas de privacidad y reglas de recopilación de datos. Sin embargo, en la gran mayoría de países y regiones que sólo permiten el uso de la tienda oficial de Apple, los usuarios se encuentran básicamente en una situación de “no tener elección”.
Desde la perspectiva de la utilización general de datos, el informe cree que, en comparación con las plataformas de publicidad de Internet más comerciales, este problema sigue siendo un nivel "relativamente menor" en el enorme panorama de análisis y recopilación de datos de Apple. Actualmente, Apple no vende ni segmenta directamente los datos de los usuarios como su principal fuente de ingresos, como algunas empresas que dependen de la publicidad para su monetización. Hasta cierto punto, esto ha debilitado las preocupaciones del mundo exterior sobre el uso de datos tan detallados para objetivos comerciales. Sin embargo, el hecho de que Apple pueda inferir y guardar con precisión la velocidad de escritura de cada usuario, el ritmo de búsqueda y otras características sutiles de comportamiento todavía inquieta a los defensores de la privacidad. En el juego a largo plazo de la protección de la privacidad, esto se considera otro peligro potencial que requiere atención continua.