Как Apple на самом деле следит за вами
- воскресенье, 5 мая 2024 г. в 00:00:12
По счастливой случайности я оказался резидентом Евросоюза, а значит, на меня также распространяется GDPR. Он позволяет мне запросить копию информации, которая хранится обо мне у всяких разных компаний. Я решил сделать это у Apple, и был неприятно удивлен.
Apple старается собирать как можно меньше данных:
Компания Apple старается собирать и хранить минимальное количество данных, необходимых для работы служб, которыми вы пользуетесь.
Давайте же погрузимся в GDPR-дамп моих данных и взглянем, насколько старание Apple собирать меньше данных сильно.
Запросить такой же дамп, если вы живете в Евросоюзе (возможно, из других стран тоже можно), можно по этой ссылке.
Дамп представляет из себя множество ZIP архивов с CSV и JSON файлами внутри. Встречаются также пустые null-файлы. Видимо там что-то пошло не так.
Структура папок следующая:
Hidden text
├── Apple ID account and device information
│ ├── Apple ID Account Information-1.csv
│ ├── Apple ID Account Information.csv
│ ├── Apple ID Device Information-1.csv
│ ├── Apple ID Device Information.csv
│ ├── Apple ID SignOn Information-1.csv
│ ├── Apple ID SignOn Information.csv
│ ├── Apps Using Sign In with Apple-1.csv
│ ├── Apps Using Sign In with Apple.csv
│ ├── Data & Privacy Request History-1.csv
│ ├── Data & Privacy Request History.csv
│ ├── Passkeys Information-1.csv
│ └── Passkeys Information.csv
├── Apple Media Services Information Part 1 of 2
│ ├── Apple_Media_Services
│ │ ├── Apple Music Activity
│ │ │ ├── Apple Music - Container Details.csv
│ │ │ ├── Apple Music - Container Origin.csv
│ │ │ ├── Apple Music - Favorites.csv
│ │ │ ├── Apple Music - Feature Statistics.csv
│ │ │ ├── Apple Music - Play History Daily Tracks.csv
│ │ │ ├── Apple Music - Play Statistics.csv
│ │ │ ├── Apple Music - Recently Played Containers.csv
│ │ │ ├── Apple Music - Recently Played Tracks.csv
│ │ │ ├── Apple Music - Top Content.csv
│ │ │ ├── Apple Music - Track Play History.csv
│ │ │ ├── Apple Music Play Activity.csv
│ │ │ ├── Identifier Information.json
│ │ │ ├── Music - Favorite Stations.csv
│ │ │ ├── Music - Liked Radio Tracks.csv
│ │ │ ├── Music - Onboarding Artists.csv
│ │ │ ├── Music - Onboarding Genres.csv
│ │ │ └── Social and Connect Post Information
│ │ │ └── Social and Connect Post Information.csv
│ │ ├── Apps and Services Analytics
│ │ │ ├── notifications-emailEvents.csv
│ │ │ ├── notifications-notificationEvents.csv
│ │ │ ├── notifications-userJourneys.csv
│ │ │ └── notifications-userTags.csv
│ │ ├── Game Center Activity
│ │ │ └── GameCenter Friend Count.csv
│ │ ├── Stores Activity
│ │ │ ├── Account and Transaction History
│ │ │ │ ├── Account History - Account Details.csv
│ │ │ │ ├── Account History - Apple Media Products Welcome Page Action.csv
│ │ │ │ ├── Account History - Apple Pay Status History.csv
│ │ │ │ ├── Account History - TV Provider Opt-In History.csv
│ │ │ │ ├── App Authorization History.csv
│ │ │ │ ├── Billing Information History.csv
│ │ │ │ ├── Customer Device History - Computer Authorizations.csv
│ │ │ │ ├── Customer Device History - iTunes in the Cloud Authorization.csv
│ │ │ │ ├── Customer Subscription Communication History.csv
│ │ │ │ ├── Report a Problem Illegal or Abusive Content Submissions.csv
│ │ │ │ ├── Report a Problem Refund and Dispute History.csv
│ │ │ │ ├── Store Credit Cashout History.csv
│ │ │ │ ├── Store Transaction History - Free Apps.csv
│ │ │ │ ├── Store Transaction History.csv
│ │ │ │ ├── Subscription History.csv
│ │ │ │ ├── Suspended Subscription History.csv
│ │ │ │ ├── U2 Songs of Innocence Album Information.csv
│ │ │ │ └── iTunes and App Store Hidden Purchases.csv
│ │ │ ├── Apple Books Information
│ │ │ │ ├── Apple Books Collection Information.json
│ │ │ │ ├── Apple Books Global Annotations.json
│ │ │ │ └── Apple Books User Annotations.json
│ │ │ ├── Apple TV and Podcast Information
│ │ │ │ ├── Apple TV Bookmarks.csv
│ │ │ │ ├── Apple TV Favorites and Wishlist.csv
│ │ │ │ ├── Profile and Sporting Events.json
│ │ │ │ ├── TV App Favorites and Activity.json
│ │ │ │ └── Your Podcasts.csv
│ │ │ ├── Other Activity│ │ │ │ ├── App Install Activity.csv
│ │ │ │ ├── App Notifications.csv
│ │ │ │ ├── App Store Click Activity.csv
│ │ │ │ ├── Apple Music Click Activity V3.csv
│ │ │ │ ├── Bookstore Click Activity.csv
│ │ │ │ ├── GameCenter Player Activities.csv
│ │ │ │ ├── Limit Ad Tracking Information.csv
│ │ │ │ ├── Media Preview - ebooks.csv
│ │ │ │ ├── Media Preview - previewed.csv
│ │ │ │ ├── Media Preview - tagged.csv
│ │ │ │ ├── Purchase Flow Events.csv
│ │ │ │ ├── Redemption Click Activity.csv
│ │ │ │ ├── Review profile.json
│ │ │ │ ├── Reviews.csv
│ │ │ │ ├── Subscription Click Activity.csv
│ │ │ │ ├── Video Play Activity.csv
│ │ │ │ ├── iTunes Payment Stack - Activity.csv
│ │ │ │ └── null
│ │ │ ├── Play Position Information
│ │ │ │ └── Playback Activity.csv
│ │ │ └── Social and Connect Post Information
│ │ │ └── Reported Concerns - Apple Music.csv
│ │ └── Testflight
│ │ ├── Testflight Data History-acceptedTerms.csv
│ │ ├── Testflight Data History-betaApps.csv
│ │ ├── Testflight Data History-crashes.csv
│ │ ├── Testflight Data History-devices.csv
│ │ ├── Testflight Data History-feedback.csv
│ │ ├── Testflight Data History-installs.csv
│ │ └── Testflight Data History-sessions.csv
│ ├── StoreCreditRedemptionHistory_1341894157_04152024021831667
│ │ └── StoreCreditRedemptionHistory
│ │ ├── Store Credit Transaction History.csv
│ │ └── Store Credit Balance History.csv
│ └── Update and Redownload History
│ ├── iTunes Match Re-download History.csv
│ └── iTunes and App-Book Re-download and Update History.csv
├── Game Center
│ └── Game Center Data.json
├── Marketing communications
│ ├── Additional Subscriptions-1.csv
│ ├── Additional Subscriptions.csv
│ ├── Apple Software Downloads-1.csv
│ ├── Apple Software Downloads.csv
│ ├── Device Registration History Pre iOS8 and Yosemite-1.csv
│ ├── Device Registration History Pre iOS8 and Yosemite.csv
│ ├── Marketing Communications Delivery.csv
│ └── Marketing Communications Response.csv
├── Other Data Part 1 of 3
│ ├── Developer Forums - Profiles.csv
│ └── Developer Forums - Questions.csv
├── Other Data Part 2 of 3
│ ├── Apple Features Using iCloud
│ │ ├── ActivitySharing
│ │ │ └── Activities.json
│ │ ├── AppleTV
│ │ │ └── AppleTV.json
│ │ ├── Calendar
│ │ │ └── Recents.xml
│ │ ├── EventKit
│ │ │ └── Locations.xml
│ │ ├── FaceTime
│ │ │ └── Recents.xml
│ │ ├── Freeform
│ │ │ └── FreeformBoards.json
│ │ ├── Mail
│ │ │ └── Recents.xml
│ │ ├── Maps
│ │ │ └── Maps_Location_Attributes.json
│ │ ├── MusicApps
│ │ │ └── MusicApps.json
│ │ ├── QuickTour
│ │ │ └── QuickTour.xml
│ │ ├── Wallet
│ │ │ └── Locations.xml
│ │ ├── Wi-Fi
│ │ │ └── KnownNetworks.xml
│ │ └── iBooks
│ │ └── iBooks.json
│ ├── Recovery Devices.json
│ └── iCloudUsageData Set1.csv
└── Wallet Activity
└── Apple Pay Cards.csv
38 directories, 118 files
Это действительно огромный массив информации (я еще не заказывал дампы icloud photos, там вообще думаю будет веселье). В целом, все что тут есть, действительно связано со мной, но также есть очень интересные данные, которые подтверждают то, что Apple, в общем-то, плевать хотела на свои заявления и хранит вообще все, что может только собрать, без каких-либо политик по удалению ваших старых данных. Давайте посмотрим на самую мякотку.
Apple ID Account Information.csv - внутри обнаруживаем информацию о всех формах Apple ID, которые вы когда либо заполняли, со всей необходимой конкретикой, например:
Ваш Apple ID Number - DSPersonID, какой вы по счету у Apple, я, например 1341894157й, дата создания, тип платежной карты, адрес, телефоны, адреса доставки и так далее. Полный список полей:
Hidden text
Apple ID Number
Apple ID
Account Link Name
Account Link Type
Account Link Create Date
Account Link Last Update Date
Create Date
Prefix
First Name
Middle Name
Last Name
Nickname
Title
Suffix
Gender
Language
Last Update Date
Phonetic Prefix
Phonetic First Name
Phonetic Middle Name
Phonetic Last Name
Phonetic Nick Name
Phonetic Title
Phonetic Suffix
Legal Name
TimeZone
Company Name
Apple ID Alias
Organization Name
Last Password Change Date
Trusted Devices
Trusted Phone Numbers 1
Trusted Phone Numbers 2
iMessage Phones
Emails
iCloud Mail Aliases
Phones
Official Address
Residence Address
Mailing Address
Shipping Address
Billing Address
Payment Type
Billing Info Prefix
Billing Info First Name
Billing Info Last Name
Billing Info Suffix
Billing Info Phonetic First Name
Billing Info Phonetic Last Name
Shipping Info Prefix
Shipping Info First Name
Shipping Info Last Name
Shipping Info Suffix
Shipping Info Phonetic First Name
Shipping Info Phonetic Last Name
App Store Announcements and Offers
Apps, Music, Movies, and More
Apple News Updates
Apple Music
Beats Email Subscription
Teacher Engagement Program
Apple Survey
Share iCloud Analytics
Compliance Phone
Family Sharing
Third Party Email Permission
Apple Store App Communications
Recovery Contacts
Recovery ID
Recovery Initiated Device Class
Recovery Initiated Device Locale
Recovery Initiated Client IP
Beneficiary Contacts
AppleCare+ Communications
Advanced Data Protection
iCloud Data Access Web Enabled
iCloud Data Access Timestamp
Advanced Data Protection - Device IP Address
Advanced Data Protection - Device Name
Advanced Data Protection - Device Serial Number
Automatic CAPTCHA Verification
Apple Newsletters Preference Opted-In
Apple Newsletters Preference Opted-Out
Advanced Data Protection Data Collection Disclosure
iCloud Cross Border Consent
iCloud Cross Border Consent Date
Apple Cross Border Consent
Apple Cross Border Consent Date
Вроде бы ничего странного, компания должна хранить такие данные, однако это вообще вся история изменений моего Apple ID, с 2010 года. Это действительно нужно Apple? (риторический вопрос). Вот что они сами говорят:
Apple retains personal data only for so long as necessary to fulfill the purposes for which it was collected, including as described in this Privacy Policy or in our service-specific privacy notices, or as required by law
Перевод:
Apple хранит персональные данные только до тех пор, пока это необходимо для достижения целей, для которых они были собраны, в том числе так, как описано в настоящей Политике конфиденциальности или в наших уведомлениях о конфиденциальности для конкретных услуг, или в соответствии с требованиями законодательства.
Интересно, какой purpose хранить данные о моем Apple ID в 2010 году? (риторический вопрос)
Двигаемся дальше - Apple ID Device Information.csv
В данном файле хранится информация об устройствах, которые привязаны сейчас и были привязаны когда либо к вашему Apple ID. Не ясно, зачем хранятся устройства, которые давным-давно отвязаны и проданы. Самая старая запись уходит в 2019 год, думаю тут либо они раз в 5 лет чистят, либо лишь 5 лет назад начали собирать данную информацию. (Update: остальное, что постарше - в отдельном файле - читайте дальше).
Список полей:
Hidden text
Device Name
Device Added Date
Device IMEI
Device Serial Number
Device Last Heartbeat IP
Device Last Heartbeat Timestamp
Device Model Name
Device Phone Number
Device ICCID
Device MEID
Device Time Zone
Device Locale Language
Data & Privacy Request History.csv
В данном файле хранится информация о запросе информации по GDPR. Сейчас он содержит 2 моих запроса.
Поля:
Hidden text
Request ID
Category Name
Request Time
Activity Type
Apple ID Number
Access Category Completed Time
Request Completed Time
Archive Size
Maximum File Size
Transfer Success Count
Transfer Failure Count
Developer Name
Request Status
Transfer Type
Schedule Type
Теперь мы погружаемся в папку Apple Media Services Information. Это, де-факто, App Store, бывший iTunes и все, что приносит Apple деньги. И вот тут ребята развернулись на полную.
Внутри вас ждет много информации, например:
Вся история Apple Music, даже если вы ей уже не пользуетесь и удалили свою библиотеку. Лайки аж с 2015 года!
Какое-то отслеживание в notifications-userJourneys.csv и тегирование в notifications-userTags.csv - явно прослеживается профайлинг или А/В тесты. Данные эксперименты ставились надо мной в 2022 году, а данные все так же хранятся.
В GameCenter Friend Count.csv хранится история изменений счетчика моих друзей, аж с 2021 года. Зачем это Apple (риторический вопрос)?
В Billing Information History.csv хранится история изменений всех ваших биллинг адресов с начала создания Apple ID. 2010 год.
В Customer Device History - Computer Authorizations.csv - аналогично, те устройства, которые я удалил с Apple ID, не использую, продал - с 2010 года - все хранится.
В App Install Activity.csv хранится информация об установленных вами приложениях, как из App Store, так и не из него. Да, если вы пользуетесь ad-hoc установкой, либо ваша организация распространяет in-house приложения, то Apple следит за этим. На каком основании Apple отслеживает установки приложений, которые им не принадлежат, да еще и в сторонних организациях, нарушая базовые принципы приватности - да потому, что могут, правда? Я отправил репорт об этом в Apple Product Security две недели назад - до сих пор жду ответа.
Дальше - возможно самый веселый файл из всех - App Store Click Activity.csv - 39 мегабайт каждого моего тапа внутри App Store начиная с 2022 года. Это просто поражает воображение, этот файл даже в предпросмотре macOS не может открыться!
Оцените объем собираемых данных:
Hidden text
AB Test
Account Match
Action Context
Action Details
Action Type
Action URL
App
Apple ID Number
Application Name
AppStore Referral ID
Billing Currency Code
Channel Partner
Channel Partner ID
Channel Partner Type
Channel Product Code
Click Target
Click Target Type
Client ID
Content Location
Contingent Price ID
Event Date Time
Event Type
External Referral App Name
External Referral URL
Final Search Term
Free App Adam ID
Free App Amount
Free App Content ID
Free App Currency Code
Free App Developer ID
Free App Genre
Free App Product Type
Free App Timestamp
Free App Transaction ID
Hardware Model
Hardware Type
Host App Name
Impressed Content Names
IP City
IP Country Code
Is Apple One Subscription
Is Arcade Subscription
Is Personalized
Is Purchase
Is Redownload
Item Descriptions
Item ID
Language ID
Location
Major OS Version
Offer Eligibility Type
Offer Placement
Offer Placement Type
Offer Trial ID
Offer Type
Offer Variant
Operating System Languages
OS
OS Build Number
OS Version
Page
Page Context
Page Custom ID
Page Details
Page Display Type
Page History
Page ID
Page Reason Type
Page Type
Page URL
Page Variant ID
Platform
Post Time
Pre-Tax Price
Price
Purchase Date
Purchased Item Descriptions
Purchased List
Referral App Name
Referral URL
Referring URL
Search Filters
Search Tab Term
Search Term
Search Term Source
Search Terms Selected
Software
Store Front
Store Front Header
Subscription State
Tab
Tab Indicator
Term
Timezone Offset Min
Total Amount
Transaction ID
URL
User Agent
Widget Name
Widget Size
Widget Type
Аналогичный файл - Apple Music Click Activity V3.csv - всего лишь 24 мегабайта.
Думаю, если вы пользуетесь другими сервисами Apple, как TV, Fitness, Arcade и т.д. - вас там профилируют еще больше. Больше сервисов - больше данных.
Напомню, пожалуй:
Компания Apple старается собирать и хранить минимальное количество данных, необходимых для работы служб, которыми вы пользуетесь.
Вот они, самые интересные сервисы для Apple. И знаете что? Вы не можете отказаться от сбора такой информации! Нигде не написано, что именно они собирают, если бы взять их требования по App Privacy, то они сами же все и нарушают!
Шуткой смотрится следующий файл - Limit Ad Tracking Information.csv
Давайте чуток передохнем, вот вам разделитель:
А вот и нет. Согласитесь, нормально собирать и хранить информацию о том, что вы купили [нет], простите, взяли в аренду (Apple Media Services EULA):
Apps made available through the App Store are licensed, not sold, to you.
...
Scope of License: Licensor grants to you a nontransferable license to use the Licensed Application on any Apple-branded products
Перевод:
Приложения, доступные через App Store, лицензируются, а не продаются вам.
...
Объем лицензии: Лицензиар предоставляет вам непередаваемую лицензию на использование Лицензированного приложения на любых продуктах Apple.
А что, если я скажу, что они хранят информацию о том, как именно вы это сделали?
Purchase Flow Events.csv - вся информация о том, как именно я покупал, что я кликал, как долго я думал - с 2021 года.
Hidden text
Action Context
Action Details
Action Type
Adjusted Event Time
Apple ID Number
Application Name
ASN State
Authorization List
Billing Information
BuyInfo Country
BuyInfo Price
BuyInfo Subscription Catalog Name
Click Target
Click Target Type
Client ID
Commerce Application Name
Commerce Event-Ask To Buy?
Commerce Event-Head of Household ID
Commerce Event-Head of Household?
Commerce Flow
Commerce Flow Type
Commerce Purchase List
Data Location
Dialog Application ID
Dialog Application Name
Dialog Code
Dialog ID
Dialog Price
Dialog Type
Event Date Time
Event Type
Family Status
Fraud Check Result
Fraud Check Status
Free Application Name
Hardware Family
Hardware Model
Head of Household ID
Host App Name
Operating System
Operating System Version
Page
Page Details
Page ID
Page Type
Page URL
Paid Purchased Price
Payment Method Added
Purchase List
Purchased Price
Recovery Category
Recovery Optimization
Recovery Recommendation
Recovery Sub Category
Reference
Result Error Key
Result type
Store Front
Store Front Header
Topic
User Actions
Visit End Time
Visit ID
Visit Start Time
Redemption Click Activity.csv - туда же. Профайлинг в Apple силен, товарищи!
Идем дальше. Я уже говорил, что Apple хранит информацию о всех устройствах (и их серийных номерах) которые когда-либо использовались вами. Есть даже отдельный файл для старых устройств - Device Registration History Pre iOS8 and Yosemite.csv - там все серийники и аккаунты - все есть.
Выводы
Apple кичится своей политикой по сбору данных, что она уважает приватность и конфиденциальность и собирает лишь необходимо минимальное количество данных - а на деле, используя свою монополию и контроль над "экосистемой" собирает огромное количество информации, хранит ее сколь угодно, использует ее для аналитики и профайлинга своих клиентов.
Сбор клиентских данных вырос до таких масштабов, что туда попали данные об использовании систем и приложений сторонних компаний, на сбор которых Apple точно не получала никаких разрешений. Это нарушает кофиденциальность никак не связанных с Apple людей и компаний.
Благодаря европейским законодателям я лично узнал, и каждый может узнать, как на самом деле обстоят дела с вашими данными у Apple.
Совет злоумышленникам - если вы незаконно получили доступ к Apple ID - сразу скачайте дамп данных - лучше этой базы данных могут быть только записи в государственных реестрах.
P.S.
Я был зарегистрированным разработчиком у Apple много лет, однако информации из этого сервиса в дампе данных нет, я запросил его у Apple отдельно - пока что ответа нет (прошло две недели).
В этом дампе должна быть информация о профайлинге меня как пользователя и разработчика, ибо я провел очень интересное расследование с использованием джейлбрейкнутого устройства и выяснил, как именно эппл трекает почти каждый тап на ваших устройствах, каждое открытие приложений; со своего барского плеча разрешает или запрещает вам использовать их. Исследовать было достаточно тяжело, ибо закрытость операционной системы и непрозрачность Apple это затрудняют. Но это - в следующей статье.