Il mistero delle bocciature su App Store per l'UDID

C’è un alone di mistero che aleggia sulla questione delle bocciature di quelle app che leggono l’UDID dell’utente senza prima avvisarlo. Qualcuno conferma le epurazioni, qualcun altro le nega; nel dubbio, gli sviluppatori si stanno attrezzando come possono per prevenire i problemi derivanti dalla lacunosa comunicazione di Apple.

Tutto era iniziato con quella clamorosa falla in iOS che consentiva a chiunque di accedere a molti -troppi- dati sensibili senza pressoché alcuna autorizzazione da parte dell’utenza. Uno scandalo che ha portato a interrogazioni della FTC e ad una revisione di ampio respiro delle politica sulla privacy nel mondo mobile, auspicate tra gli altri anche da Microsoft e Google. Da allora, è nata una gran confusione con segnalazioni di app bloccate dalla censura di Cupertino e dichiarazioni di addetti ai lavori come Chartboost che parlano di bocciature “completamente inventate.”

In realtà, ha tagliato la testa al toro TapBots pubblicando per intero la mail ricevuta dal team Apple, la stessa che vedete qui sopra. Quindi cos’è che sta succedendo esattamente e come si arrivati a questo caos?

La verità è che l’accesso all’UDID non costituisce di per sé alcuna infrazione, ma per superare il vaglio dei revisori Apple è necessario che l’app chieda prima l’autorizzazione all’utente. Peccato che questa indicazione sia stata evinta empiricamente dopo tanto dibattito:

C’è molta disinformazione in giro ora. Poiché Apple comunica spesso i cambiamenti di policy attraverso bocciature esemplari invece che con un avviso trasparente a ognuno, gli sviluppatori stanno innervosendosi con tutti questi rumors. La condotta super segreta di Apple va bene per stuzzicare l’appetito dei consumatori, ma è un modo ridicolmente terribile di far funzionare una piattaforma su cui fanno affidamento 700.000 app.

E allora, per evitare di trovarsi inguaiati all’improvviso, alcune società hanno deciso di tagliare la testa al toro e di eliminare l’UDID tout court dalla loro vita professionale. E le iniziative prese sono tutto fuorché banali:

• Fingerprinting del dispositivo: si genera una chiave univoca partendo dalle caratteristiche del dispositivo,dalla sua posizione e dal corredo software. È l’approccio probabilistico adottato da Mobile App Tracking, ma purtroppo per gli inserzionisti talvolta fa cilecca e produce duplicati.
• Metodo del copia-incolla: è il sistema alla base dell’OpenUDID di Appsfire o del SecureUDID di Crashlytics. Si identifica l’utente in base ai contenuti della clipboard, ma ciò costituisce l’abuso d’una funzionalità nata per altri scopi. E chissà che Apple non abbia da ridire anche su questo, in futuro.
• Cookie HTML5: è l’equivalente di ciò che accade quando visitiamo qualunque sito Web della Terra; viene generato un cookie che serve a identificare senza errori l’utente. Richiede tuttavia che venga aperta una sessione browser -se non il browser stesso- ad ogni avvio dell’app o al clic d’una pubblicità. Non proprio una bella esperienza utente.
• Mac Address: come l’UDID, il Mac Address della scheda di rete WiFi è univoca per ogni dispositivo nell’universo. Utilizzato già dal sistema Open Source ODIN e da InMobi, questo metodo non ha probabilmente vita lunga davanti a sé, e per le medesime ragioni già viste con l’UDID.
• Schema d’identificazione proprietario: è l’ultima spiaggia, forse la più costosa, ma consente di eludere la censura di Cupertino. Il problema, però, è quello della Torre di Babele: se tutti parlano la propria lingua, è impossibile confrontare direttamente le prestazioni delle proprie campagne pubblicitarie con meccanismi eterogenei.

Certo, in un periodo in cui gli smartphone sono onnipresenti, ci si potrebbe anche domandare che vantaggi porti all’utenza la rintracciabilità ad ogni costo. Ma d’altro canto, l’intero settore delle app gratuite non potrebbe sussistere se non si potesse profilare in qualche modo i propri acquirenti; è il solito vecchio adagio “se non paghi per il prodotto, allora il prodotto sei tu.” E allora, Apple dovrà trovare un modo per coniugare gli interessi di chi crea il software col diritto alla privacy di quelli che lo usano.