Des chercheurs en sécurité ont récemment découvert que les données sur le comportement des utilisateurs collectées par Apple dans la fonction de recherche de l'App Store sont extrêmement détaillées, enregistrant presque chaque « frappe » de l'utilisateur dans le champ de recherche, y compris des informations telles que le rythme de saisie et la durée de la pause, et que les utilisateurs ne peuvent pas choisir de désactiver ce comportement de collecte de données.
La découverte a été divulguée pour la première fois via la plateforme sociale X le 9 juin par l'équipe de recherche en sécurité Mysk. Les chercheurs ont analysé les données analytiques que les applications de l'App Store renvoient à Apple lorsque les utilisateurs effectuent une recherche et ont montré un exemple de capture d'écran du processus complet de saisie du terme de recherche « Tim Cook », divisé en dix enregistrements horodatés, chaque enregistrement correspondant à une lettre de la saisie de l'utilisateur, avec une précision d'une fraction de seconde près. Grâce à ces données, Apple peut non seulement voir chaque état intermédiaire de l'utilisateur, de « T » et « Ti » jusqu'à « Tim Cook », mais également calculer le temps total nécessaire à l'utilisateur pour saisir un mot et les intervalles entre les caractères, déduisant ainsi indirectement des caractéristiques comportementales telles que la vitesse de frappe.
En plus des frappes textuelles au clavier, ces enregistrements incluent également des informations sur l'onglet App Store sur lequel l'utilisateur se trouvait à ce moment-là, ainsi que des données environnementales telles que la version du système d'exploitation exécuté par l'appareil. En réponse à des questions externes, Mysk a souligné que ces données appartiennent aux informations d'analyse des applications envoyées à Apple et ne sont pas des données d'interface utilisées pour renvoyer les résultats des associations de recherche en temps réel. En d’autres termes, Apple reçoit une copie complète du processus de saisie de l’utilisateur lui-même, et non une liste de résultats de recherche. Les chercheurs ont également souligné que les utilisateurs peuvent demander à exporter les données de l'App Store associées à leurs comptes via le site Web de confidentialité d'Apple afin d'en vérifier le contenu.
D’un point de vue fonctionnel, certaines collectes de données sont considérées comme « certainement nécessaires ». Lorsqu'un utilisateur saisit un terme de recherche dans l'App Store, l'application génère des suggestions de recherche en temps réel en fonction d'une partie de la chaîne actuellement saisie. À partir de la première lettre, la liste de suggestions sera actualisée à chaque fois que la chaîne change, ce qui nécessite que le système comprenne le texte spécifique actuellement saisi par l'utilisateur. Cependant, selon les chercheurs, le problème est que ces enregistrements textuels sont non seulement utilisés en temps réel, mais sont également stockés à long terme sous une forme très granulaire et associés à des utilisateurs spécifiques, ce qui constitue une conservation des données qui n'est « pas nécessaire » au-delà de l'association de recherche.
Mysk a également souligné que les utilisateurs n'ont actuellement aucun moyen de désactiver le téléchargement de ces données d'analyse comportementale, ni de contourner le stockage des données associées via les paramètres. En dehors de certains marchés tels que l'UE, en raison du manque d'options obligatoires pour les magasins d'applications tiers, de nombreux utilisateurs ne peuvent compter que sur l'App Store officiel d'Apple pour obtenir des applications iOS. Naturellement, ils ne peuvent pas contourner ce type de mécanisme de collecte de données en modifiant les canaux de distribution des applications. Dans les régions disposant de magasins d'applications tiers, différentes plates-formes auront leurs propres politiques de confidentialité et règles de collecte de données. Cependant, dans la grande majorité des pays et régions qui autorisent uniquement l’utilisation de la boutique officielle d’Apple, les utilisateurs se trouvent fondamentalement dans une situation « sans choix ».
Du point de vue de l'utilisation globale des données, le rapport estime que par rapport à la plate-forme de publicité Internet plus commerciale, ce problème reste un niveau « relativement mineur » dans l'immense paysage de collecte et d'analyse de données d'Apple. Actuellement, Apple ne vend ni ne segmente directement les données des utilisateurs comme principale source de revenus, comme certaines entreprises qui dépendent de la publicité pour la monétisation. Cela a, dans une certaine mesure, atténué les inquiétudes du monde extérieur quant à l'utilisation de données aussi fines à des fins de ciblage commercial. Cependant, le fait qu'Apple puisse déduire et enregistrer avec précision la vitesse de frappe, le rythme de recherche et d'autres caractéristiques comportementales subtiles de chaque utilisateur inquiète toujours les défenseurs de la vie privée. Dans le jeu à long terme de la protection de la vie privée, cela est considéré comme un autre danger potentiel qui nécessite une attention continue.