Esta iniciativa permitirá aos utilizadores de dispositivos Apple iniciar sessão em aplicações e serviços de terceiros utilizando o reconhecimento facial e sem partilhar informação pessoal. No entanto, a OpenID Foundation diz que a nova opção apresenta certos riscos apara a privacidade dos utilizadores.
No início de junho, na Apple Worldwide Developers Conference (WWDC), a Apple apresentou o “Sign In With Apple”, uma iniciativa que a empresa anunciou na expetativa de que terceiros permitam aos utilizadores de Apple, em todos os seus dispositivos, iniciar sessão com apenas um clique, como acontece já com o Facebook ou o Google, sem necessidade de partilhar informação pessoal com a aplicação.
Embora a iniciativa seja pelo menos interessante do ponto de vista da privacidade, na semana passada a Open ID Foundation expressou preocupação quanto à possibilidade da implementação do “Sign In With Apple” apresentar riscos quanto à privacidade e segurança dos utilizadores.
Sobre o “Sign In With Apple”
A ideia da Apple é permitir que os desenvolvedores adicionem um botão com a opção de “Iniciar sessão com Apple”, mas a diferença está no facto de que os utilizadores poderão autenticar-se utilizando o reconhecimento facial disponível nos seus telefones, sem necessidade de partilhar informação pessoal com terceiros.
O que tem vindo a acontecer é que os desenvolvedores de aplicações, sites, plataformas e serviços, oferecem a possibilidade dos utilizadores iniciarem sessão com apenas um clique, como é o caso do “Entrar com o Google” ou “Entrar com o Facebook”, permitindo ao utilizador usar a informação que o Facebook, Google ou Twitter já têm acerca do próprio, em vez de criarem uma nova conta. Segundo explicou Craig Federighi, na WWDC, “embora isso possa ser conveniente, também pode ter um custo no que respeita à privacidade, já que muitas vezes a nossa informação acaba por ser partilhada nas “nossas costas” e estes inícios de sessão podem ser utilizados para rastrear o utilizador”. Um exemplo de informação que é recolhida por empresas como o Facebook ou Google é, por exemplo, aquela que é utilizada para exibir publicidade relacionada com os gostos e interesses do utilizador.
Além disso, durante a apresentação, Federighi explicou que caso uma aplicação solicite o nome ou endereço de e-mail, caso o utilizador não queira revelar o seu verdadeiro endereço de e-mail poderá fazê-lo. Quando assim for, a Apple vai gerar um endereço de e-mail único e aleatório que se vai ligar com o verdadeiro e-mail do utilizador. Assim, “cada utilizador obtém um e-mail único e aleatório para cada app, o que quer dizer também que poderá desativar qualquer um desses endereços de e-mail sempre que se canse de receber informação dessa aplicação”, explicou.
Riscos de segurança que apresenta o “Sign In With Apple”
Após o anúncio desta novidade durante a conferência anual que a empresa realiza, no passado dia 27 de junho, a OpenID Foundation publicou uma carta aberta dirigida a Craig Federighi na qual questiona algumas das caraterísticas mencionadas pela Apple sobre o “Sign In With Apple”.
A OpenID Foundation é uma organização sem fins lucrativos, da qual fazem parte empresas como a Google, Microsoft e Paypal, entre tantas outras, que controlam numerosas plataformas de início de sessão que utilizam o OpenID Connect, um protocolo de identidade amplamente adotado e construído sobre o 0Auth 2.0, e que é utilizado por terceiros para oferecer a opção de iniciar sessão em aplicações de uma forma padronizada. Também o referido protocolo foi desenvolvido por vários fabricantes e peritos da indústria que constituem a Fundação.
A Apple adotou em grande parte o uso do protocolo OpenID Connect para a sua plataforma “Sign In With Apple”. É por isso que, apesar da Fundação afirmar celebrar os esforços necessários para que a Apple permita aos utilizadores iniciar sessão em telemóveis e aplicações através do seu sistema Apple ID, também salienta que existem certas diferenças importantes na forma como a Apple implementa o “Sign In With Apple” e a sua utilização do protocolo OpenIDConnect. Segundo explicam, essas diferenças (detalhadas aqui), para além de significar um esforço desnecessário para os desenvolvedores que trabalhem sobre o OpenID Connect e “Sign In With Apple”, limitam os lugares em que os utilizadores podem utilizar esta opção e também representa importantes riscos para a privacidade e segurança dos utilizadores.
Neste sentido, a Fundação convidou a Apple a analisar estas diferenças com o objetivo de reduzir estas diferenças.
