Apple passa a registrar todos os toques na App Store para anúncios personalizados, dados enviados sem criptografia

A Apple não está apenas testando recomendações personalizadas na App Store, está coletando cada toque, cada letra digitada e até a velocidade de digitação dos usuários, em tempo real, sem criptografia e vinculado diretamente ao DSID (identificador imutável ligado ao seu nome, e-mail e iCloud). Essa prática foi detectada por pesquisadores da Mysk e já alimenta as novas 'Coleções Personalizadas', lançadas oficialmente em 15 de junho de 2026 nos EUA. O dado mais crítico: não há opção de desligar. Nem nas configurações de privacidade, nem no painel de análise do iPhone, mesmo com 'Compartilhar Análises do iPhone' desativado, os dados continuam fluindo.

Essa coleta não é nova em si: desde 2022, a Mysk já documentou que a Apple registra navegação na App Store, tempo gasto lendo políticas de privacidade de apps e até comportamentos em Apple Books e Apple Music. Mas agora o escopo se ampliou para um nível quase forense, e com uma camada de risco técnico explícita: transmissão sem criptografia. Isso significa que qualquer interceptação entre o iPhone e os servidores da Apple (por exemplo, em redes Wi-Fi públicas ou por provedores mal configurados) pode expor dados sensíveis em texto puro.

O que mudou entre 10 de junho (quando as recomendações personalizadas foram ativadas) e 17 de junho (data da descoberta técnica) é a confirmação de que a infraestrutura por trás dessas recomendações é um sistema de telemetria contínua, não pontual. Antes, a Apple falava em 'análise agregada' e 'modelos locais'. Agora, os logs mostram eventos individuais, carimbos de tempo milisegundos, coordenadas de toque e até sequências de entrada de texto, tudo sem cifragem. Também mudou o grau de vinculação: antes, os dados eram anônimos ou pseudonimizados; agora, o DSID garante identificação direta e persistente, mesmo em dispositivos compartilhados ou reutilizados.

Isso importa porque coloca em xeque dois pilares da narrativa da Apple: a promessa de 'privacidade por design' e a conformidade com a LGPD. A lei brasileira exige consentimento inequívoco, minimização de dados e segurança adequada, como criptografia em trânsito. Transmitir dados sensíveis sem cifragem viola o artigo 46 da LGPD. Para desenvolvedores, significa que o novo ecossistema de descoberta algorítmica não é neutro: ele depende de um fluxo constante de dados pessoais, o que pode afetar rankings, visibilidade e até custos de anúncios futuros. E para usuários, é um lembrete prático: 'Não rastreamos você' só vale para terceiros, não para a própria Apple quando há receita publicitária em jogo.