Beveiligingsonderzoekers hebben onlangs ontdekt dat de gegevens over gebruikersgedrag die Apple verzamelt in de zoekfunctie van de App Store uiterst gedetailleerd zijn, waarbij vrijwel elke "toetsaanslag" van de gebruiker in het zoekvak wordt vastgelegd, inclusief informatie zoals invoerritme en pauzeduur, en gebruikers kunnen er niet voor kiezen om dit gedrag bij het verzamelen van gegevens uit te schakelen.
De ontdekking werd op 9 juni voor het eerst bekendgemaakt via het sociale platform X door beveiligingsonderzoeksteam Mysk. De onderzoekers analyseerden de analysegegevens die App Store-apps naar Apple terugsturen wanneer gebruikers zoeken, en lieten een voorbeeldscreenshot zien van het volledige proces van het typen van de zoekterm 'Tim Cook', opgesplitst in tien records met tijdstempel, waarbij elke record overeenkomt met één letter van de invoer van de gebruiker, nauwkeurig tot op de fractie van een seconde. Via deze gegevens kan Apple niet alleen elke tussenliggende toestand van de gebruiker zien, van "T" en "Ti" tot en met "Tim Cook", maar ook de totale tijd berekenen die de gebruiker nodig heeft om een woord in te voeren en de intervallen tussen tekens, waardoor indirect gedragskenmerken zoals typsnelheid worden afgeleid.
Naast woordelijke toetsaanslagen bevatten deze records ook informatie over het App Store-tabblad waar de gebruiker zich op dat moment bevond, evenals omgevingsgegevens zoals de versie van het besturingssysteem waarop het apparaat draait. In antwoord op externe vragen benadrukte Mysk dat deze gegevens behoren tot applicatie-analyse-informatie die naar Apple wordt verzonden, en geen interfacegegevens zijn die worden gebruikt om zoekassociatieresultaten in realtime terug te geven. Met andere woorden: wat Apple ontvangt is een volledige kopie van het gebruikersinvoerproces zelf, en niet een lijst met zoekresultaten. De onderzoekers wezen er ook op dat gebruikers via de privacywebsite van Apple een aanvraag kunnen indienen om dergelijke App Store-gegevens die aan hun accounts zijn gekoppeld, te exporteren om de inhoud ervan te verifiëren.
Vanuit functioneel perspectief wordt een deel van de gegevensverzameling als “zeker noodzakelijk” beschouwd. Wanneer een gebruiker een zoekterm in de App Store invoert, genereert de app in realtime zoeksuggesties op basis van een deel van de momenteel ingevoerde string. Vanaf de eerste letter wordt de suggestielijst vernieuwd telkens wanneer de tekenreeks verandert, waardoor het systeem de specifieke tekst moet begrijpen die momenteel door de gebruiker is ingevoerd. Het probleem is echter, zo zijn onderzoekers van mening, dat deze letterlijke invoerrecords niet alleen in realtime worden gebruikt, maar ook voor de lange termijn in een zeer gedetailleerde vorm worden opgeslagen en aan specifieke gebruikers worden gekoppeld, wat gegevensretentie is die "niet noodzakelijk" is, afgezien van het mogelijk maken van zoekassociatie.
Mysk wees er ook op dat gebruikers momenteel geen manier hebben om het uploaden van deze gedragsanalysegegevens uit te schakelen, noch kunnen ze de gerelateerde gegevensopslag via instellingen omzeilen. Buiten sommige markten, zoals de EU, kunnen veel gebruikers, vanwege het ontbreken van verplichte app store-opties van derden, alleen vertrouwen op de officiële App Store van Apple bij het verkrijgen van iOS-apps. Uiteraard kunnen ze dit soort gegevensverzamelingsmechanismen niet omzeilen door de distributiekanalen van apps te veranderen. In regio's met appstores van derden hebben verschillende platforms hun eigen privacybeleid en regels voor gegevensverzameling. In de overgrote meerderheid van de landen en regio's die alleen het gebruik van de officiële Apple Store toestaan, bevinden gebruikers zich echter feitelijk in een situatie van ‘geen keuze’.
Vanuit het perspectief van het algehele datagebruik is het rapport van mening dat dit probleem, vergeleken met het meer commerciële internetadvertentieplatform, nog steeds een "relatief klein" niveau is in Apple's enorme dataverzamelings- en analyselandschap. Apple verkoopt of segmenteert momenteel niet rechtstreeks gebruikersgegevens als belangrijkste inkomstenbron, zoals sommige bedrijven die afhankelijk zijn van advertenties om inkomsten te genereren. Dit heeft tot op zekere hoogte de zorgen van de buitenwereld over het gebruik van dergelijke fijnmazige gegevens voor commerciële doeleinden afgezwakt. Het feit dat Apple de typsnelheid, het zoekritme en andere subtiele gedragskenmerken van elke gebruiker nauwkeurig kan afleiden en opslaan, zorgt er echter nog steeds voor dat privacyvoorstanders zich ongemakkelijk voelen. In het langetermijnspel van privacybescherming wordt dit gezien als een ander potentieel gevaar dat voortdurende aandacht vereist.