Loupe – Una app de iOS que concientiza sobre lo que pueden ver las apps nativas
Alcance en Mac y la plataforma
- Algunos quieren una versión para macOS; el README dice que ya funciona en gran medida en Mac, pero necesita pulido.
- Hay debate sobre qué son las “apps” en macOS, y sobre las diferencias entre las apps del Mac App Store en sandbox y las apps fuera de la tienda con acceso más amplio.
Vectores de fingerprinting revelados
- El volumen/fecha y hora de “la última configuración o borrado del dispositivo” se considera especialmente grave; se ve como muy identificable cuando se combina con unos pocos bits más (tipo de dispositivo, almacenamiento, zona horaria).
- Se aclaró que esto proviene de la marca de tiempo de creación del volumen, no de una API especial.
- El contador de cambios del portapapeles y el acceso sin un pegado explícito inquietan a algunos; otros señalan que iOS ahora solicita permiso antes de leer el contenido del portapapeles.
- Algunos sostienen que muchas de estas fugas (configuración regional, formatos de fecha, información de webview, información de red) ya bastan para hacer fingerprinting.
Apps instaladas y seguimiento entre apps
- Sorprende que las apps puedan inferir la presencia de otras apps y usar eso para perfilar (por ejemplo, apps de citas).
- Aclaración: iOS no puede listar libremente todas las apps; solo puede consultar hasta 50 esquemas URL declarados (LSApplicationQueriesSchemes), pero aun así eso basta para perfilar y puede rotarse con las actualizaciones.
- Preocupa que SDK de terceros y brokers de datos agreguen esas señales por app en un seguimiento potente entre apps y entre sitios.
Apps nativas vs web / PWA
- Muchos ven las apps nativas como mucho más invasivas para la privacidad que los sitios web, lo que explica los agresivos mensajes de “instala nuestra app”.
- Otros argumentan que las apps también son técnicamente mejores (funciones, integración con el sistema operativo), lo que incluye mejores capacidades de fingerprinting.
- Algunos impulsan alternativas web (old.reddit, funciones anti-insistencia del navegador), pero señalan que muchos servicios degradan intencionalmente la web móvil para forzar instalaciones de apps.
Controles de privacidad del SO y comparaciones
- iOS: sandboxing para apps del App Store, el interruptor de ATT solo bloquea el identificador de publicidad, se introdujo una API de filtrado de URL, y el Informe de privacidad de apps enumera los dominios contactados.
- macOS: el sandbox de MAS tiene un entitlement de red; iOS no tiene un equivalente.
- Android/GrapheneOS: permiso de red por app (a veces solicitado al instalar), permisos de sensores, perfiles de usuario para aislar apps; aún pueden existir canales IPC para eludirlo.
- La mención de TV y otros dispositivos que se unen inesperadamente a redes se ve como parte de un ecosistema más amplio “defectuoso por diseño”.
Estrategias de usuario y sus límites
- Consejo común: minimizar las apps instaladas, preferir el navegador, elegir apps que respeten la privacidad o que sean offline-first, usar bloqueo de anuncios y rastreadores, sistemas operativos centrados en la privacidad y firewalls a nivel de app.
- Otros sienten que “simplemente no instales apps” no es realista por motivos de trabajo y requisitos de servicios.
- Algunos se resignan a la recopilación de datos y se centran sobre todo en bloquear anuncios.
Soluciones propuestas y debates
- Sugerencias: aleatorizar/difuminar marcas de tiempo y contadores, restringir o volver más gruesos los metadatos del portapapeles, exigir permiso explícito de red (también en iOS), integrar controles tipo Little Snitch y modelos de capacidades más ricos, y private relay a nivel del sistema.
- Hay opiniones divididas sobre la viabilidad y eficacia: algunos creen que los permisos solo se convertirían en otro aviso que los usuarios aceptarían automáticamente; otros los ven como una transparencia valiosa y presión sobre los desarrolladores.
- Dimensión legal: se especula que el seguimiento omnipresente dentro de las apps y el “paga o acepta el seguimiento” podrían violar el RGPD, pero se señala que los resultados aún están pendientes de los tribunales.