اپل ۱۶ رابط برنامه نویسی کاربردی را به خاطر مشکلات حریم خصوصی در سافاری مسدود کرد

اپل با تمرکز بر حفظ حریم خصوصی کاربران خود در مرورگر اختصاصی، ۱۶ رابط برنامه‌نویسی را از ورود به اکوسیستم سافاری منع کرد.

اپل اعلام کرد که اجازه‌ی به‌کارگیری ۱۶ رابط برنامه‌نویسی کاربردی (API) وب را در سافاری صادر نمی‌کند. شرکت اعتقاد دارد این رابط‌ها با ساختن پروفایل اختصاصی از رفتار و سابقه‌ی فعالیت کاربر (Fingerprint)، حریم خصوصی آن‌ها را تهدید می‌کنند. فناوری‌هایی که به‌خاطر تهدید حریم خصوصی ازسوی اپل رد شدند، شامل موارد زیر می‌شوند:

• Web Bluetooth: به وب‌سایت‌ها امکان می‌دهد تا به دستگاه‌های مجاور مجهز به Bluetooth LE متصل شوند.
• Web MIDI API: به وب‌سایت‌ها امکان می‌دهد تا به دستگاه‌های MIDI دسترسی داشته باشند.
• Magnetometer API: به وب‌سایت‌ها امکان می‌دهد تا به داده‌هایی پیرامون میدان مغناطیسی اطراف کاربر دسترسی پیدا کنند. این داده‌ها توسط حسگرهای مغناطیسی دستگاه کاربر ارائه می‌شوند.
• Web NFC API: به وب‌سایت‌ها امکان می‌دهد تا با استفاده از ابزار خواندن NFC با برچسب‌های NFC ارتباط برقرار کنند.
• Device Memory API: امکان محاسبه‌ی حدودی حافظه‌ی دستگاه کاربر را به وب‌سایت می‌دهد.
• Network Information API: اطلاعاتی پیرامون اتصالی می‌دهد که دستگاه برای ارتباط با شبکه استفاده می‌کند. به‌علاوه این امکان را ایجاد می‌کند که درصورت تغییر اتصال اینترنتی کاربر، به اسکریپت‌ها اطلاع‌رسانی شود.
• Battery Status API: امکان دریافت اطلاعات وضعیت باتری دستگاه کاربر را به وب‌سایت می‌دهد.
• Web Bluetooth Scanning: به وب‌سایت‌ها امکان می‌دهد تا محیط اطراف دستگاه را برای پیدا کردن تجهیزات دارای Bluetooth LE اسکن کنند.
• Ambient Light Sensor: وب‌سایت‌ها با استفاده از آن می‌توانند سطح روشنایی نور محیطی اطراف دستگاه کاربر را با استفاده از حسگرهای داخلی دستگاه دریافت کنند.
• HDCP Policy Check extension for EME: به وب‌سایت‌ها امکان می‌دهد تا چارچوب‌های HDCP را بررسی کنند که در پخش محتوای رسانه‌ای و استریم استفاده می‌شود.
• Proximity Sensor: وب‌سایت می‌تواند با استفاده از این رابط، داده‌هایی پیرامون فاصله‌ی دستگاه کاربر با یک جسم مجاور دریافت کند که توسط حسگر مجاورت دستگاه ارائه می‌شود.
• WebHID: به وب‌سایت امکان می‌دهد تا اطلاعاتی پیرامون دستگاه‌های محلی HID (مخفف Human Interface Device) جمع‌آوری کند.
• Serial API: امکان نوشتن و خواندن داده را در رابط‌های سریالی به وب‌سایت می‌دهد. این رابط‌ها عموما توسط دستگاه‌هایی همچون میکروکنترلرها و پرینترهای سه‌بعدی استفاده می‌شوند.
• Web USB: این رابط برنامه‌نویسی امکان ارتباط وب‌سایت با دستگاه‌های متصل به پورت USB را فراهم می‌کند.
• Geolocation Sensor: نسخه‌ای مدرن‌تر از رابط برنامه‌نویسی کاربردی Geolocation API که امکان دسترسی بهتر به داده‌های جغرافیایی را به وب‌سایت می‌دهد.
• User IDle Detection: رابط کاربری که به وب‌سایت امکان می‌دهد تا توقف فعالیت کاربر را شناسایی کند.

اپل ادعا می‌کند که ۱۶ رابط بالا، به تبلیغ‌دهنده‌های آنلاین و تحلیل‌گران داده امکان می‌دهند تا اسکریپت‌هایی برای ساختن یک پروفایل اختصاصی از هر کاربر و دستگاه‌های او، توسعه دهند. تبلیغ‌‌کننده‌های دیجیتال عموما اسکریپت‌های کوچکی را برای ساختن یک اثر انگشت منحصربه‌فرد برای کاربر به کار می‌گیرند که در مرورگر او پیاده می‌شود. اسکریپ‌ها فعالیت استاندارد ثابتی دارند و از API مرسوم وب یا قابلیت‌های مرسوم یک مرورگر بهره می‌برند. آن‌ها سپس با دریافت واکنش رابط برنامه‌نویسی، اطلاعات موردنیاز خود را جمع‌آوری می‌کنند. 

هر کاربر وب‌سایت، مرورگر و سیستم‌عامل منحصربه‌فرد خود را دارد و پیکربندی سیستم‌‌ها نیز با هم تفاوت خواهد داشت. درنتیجه پاسخی که از سمت هر کاربر به رابط برنامه‌نویسی ارسال می‌شود، منحصربه‌فرد خواهد بود. تبلیغ‌کننده‌ها با استفاده از همین واکنش منحصربه‌فرد (شبیه به اثر انگشت) و ترکیب آن با دیگر داده‌های منحصربه‌فرد کاربر از منابع داده‌ای متفرقه، به‌نوعی شخصیت هر فرد را به‌خوبی شناسایی می‌کنند.

در سه سال گذشته، استفاده از اثر انگشت آنلاین کاربران به ابزار مرسومی برای تبلیغ‌دهنده‌ها تبدیل شد تا کاربران را به‌راحتی در بازار تبلیغات آنلاین و محصولات فناورانه، ردگیری کنند. استفاده از اثر انگشت از آنجایی اوج گرفت که مرورگرها به‌مرور قابلیت‌هایی جهت جلوگیری از ابزارهای ردگیری دیگر توسعه دادند. کوکی‌های سوم‌شخص که قبلا برای ردگیری کاربران استفاده می‌شدند، امروز دیگر کارایی زیادی ندارند.

برخی از توسعه‌دهنده‌های مرورگر، ابزارهای مقابله‌ای را توسعه داده‌اند تا فعالیت‌های ساختن اثر انگشت از سابقه‌ی کاربر را متوقف کنند. برخی رویکردهای مرسوم که از قابلیت‌های مشهور وب استفاده می‌کردند (مانند فونت و HTML5 canvas و WebGL) اکنون در بسیاری از مرورگرها مسدود می‌شوند، اما هنوز سهم عمده‌ای از ابزارهای ساختن اثر انگشت آنلاین کاربر، به فعالیت خود ادامه می‌دهند. به‌علاوه، با اضافه شدن APIهای جدید توسط سازنده‌های مرورگر به ساختار کلی مرورگرها، ابزارهای جدیدی هم برای ردگیری کاربران توسعه پیدا می‌کند.

درحال‌‌حاضر اپل ۱۶ رابط برنامه‌نویسی بالا را به‌عنوان بدترین تهدیدها علیه حریم خصوصی کاربران مطرح می‌کند. البته به‌هرحال آن‌ها گفته‌اند که اگر هریک از رابط‌ها، قابلیت‌های ساختن اثر انگشت را در کدهای زیرساختی خود کاهش دهند، شاید مجددا برای ورود به سافاری مجوز پیدا کنند. اپل در بیانیه‌ای پیرامون تصمیم جدید گفت: «اولین خط دفاعی WebKit در برابر ساختن اثر انگشت آنلاین این است که قابلیت‌های وب با امکان افزایش احتمال ساختن اثر انگشت را در مرورگر پیاده‌سازی نکند. این قابلیت‌ها، هیچ راه امنی هم برای حفاظت از کاربر ارائه نمی‌کنند».

اپل از سال‌ها پیش، از رابط‌های برنامه‌نویسی متعددی در سافاری پشتیبانی می‌کند. آن‌ها ادعا می‌کنند که در به‌روزرسانی‌های متعدد، توانایی APIهای قدیمی به ساختن اثر انگشت از رفتار کاربر را کاهش داده‌اند. در ادامه، برخی از فعالیت‌های اپل در این مسیر را می‌خوانید:

• حذف پشتیبانی از فونت‌های اختصاصی. یعنی فونت‌های یکسانی برای تمامی کاربران یک سیستم مشخص ارائه می‌شود.
• حذف اطلاعات به‌روزرسانی نرم‌افزاری جزئی از رشته‌ی اطلاعاتی کارگزار کاربر. این رشته اکنون تنها با تغییر نسخه‌ی پلتفرم و مرورگر تغییر می‌کند.
• حذف برچسب Do Not Track که به‌تنهایی به‌عنوان یک المان برای ساختن اثر انگشت استفاده می‌شد. درنتیجه کاربری که آن را فعال کرده بود، یک مشخصه‌ی منحصربه‌فرد داشت.
• حذف پشتیبانی از افزونه‌ها در سیستم‌عامل مک. البته شاید در محیط‌های دیگر از افزونه پشتیبانی شود. سافاری در iOS هم هیچ‌گاه از افزونه پشتیبانی نکرده است.
• درخواست مجوز از کاربر برای اجازه دادن به وب‌سایت برای دسترسی به Orientation/Motion API در دستگاه‌های موبایل. چون حالت فیزیکی دستگاه و حسگرهای حرکتی را می‌توان برای ساختن اثر انگشت به کار گرفت.
• جلوگیری از ساختن اثر انگشت با دریافت اطلاعات از دوربین‌ها و میکروفن‌های متصل به دستگاه کاربر که با حذف رابط برنامه‌نویسی WebRTC انجام شد.

تصمیم جدید اپل برای مرورگر اختصاصی، اگرچه تمرکز بالای شرکت را روی حریم خصوصی کاربران نشان می‌دهد، اما شاید در عملکرد برخی از وب‌سایت‌ها اختلال ایجاد کند. به‌هرحال کوپرتینویی‌ها همیشه نشان داده‌اند که حریم خصوصی کاربر را در اولویت اول خود در دستور کار قرار می‌دهند و شاید از تأثیر بر تجربه‌ی کاربری او هم ابایی نداشته باشند.