Loupe svela cosa possono vedere davvero le app iPhone dei tuoi dati

Il tracciamento online non si limita a cookie e account pubblicitari. Esiste un’altra categoria di tecniche, spesso invisibile ma molto efficace: il fingerprinting del dispositivo.

Questa pratica sfrutta dati che app e siti web raccolgono per costruire un profilo capace di riconoscere un dispositivo nel tempo, senza nome, email o posizione geografica. Da questa consapevolezza nasce Loupe, un progetto open source sviluppato dal team Mysk che mostra in modo concreto quali informazioni un’app iOS può leggere e come contribuiscano alla creazione di una sorta di “impronta digitale” persistente.

Come Loupe rende visibile il fingerprinting su iPhone

Loupe è un’applicazione per iPhone e iPad che legge direttamente i valori esposti dalle API pubbliche di iOS e li presenta all’utente nella loro forma originale, senza elaborazioni.

L’obiettivo è educativo: permettere di osservare quali dati un’app può ottenere legittimamente dal sistema operativo. Ogni singolo parametro potrebbe non essere unico, ma l’insieme dei segnali raccolti costruisce una firma identificativa persistente.

Per rendere più chiara la superficie di raccolta, Loupe organizza i dati in tre categorie. La prima, definita come Passive, include segnali disponibili senza alcuna autorizzazione: fuso orario, caratteristiche dello schermo, stato della batteria. La seconda raggruppa le informazioni che richiedono consenso esplicito, come contatti, foto e calendario. Il terzo livello, Advanced, mostra tecniche più sofisticate: il controllo degli URL Scheme tramite l’API canOpenURL e la persistenza dei dati attraverso il Keychain di sistema, che in alcuni scenari conserva informazioni anche dopo la reinstallazione dell’app.

Perché il fingerprinting sfugge alle protezioni moderne

Le piattaforme mobili hanno introdotto numerose limitazioni contro il tracciamento tradizionale. Apple ha ridotto l’accesso a identificatori persistenti e reso obbligatorio il consenso per l’uso dell’Identifier for Advertisers.

Il fingerprinting segue però una logica diversa: invece di affidarsi a un singolo identificatore, combina decine di parametri apparentemente innocui come versione del sistema operativo, lingua impostata e configurazione hardware. Il risultato è un profilo stabile, costruito attraverso meccanismi del tutto legittimi, senza sfruttare vulnerabilità o permessi speciali.

Loupe evidenzia proprio questa caratteristica. Nessuna informazione letta dall’app viene trasmessa a server esterni o sincronizzata online: tutti i valori restano sul dispositivo e possono essere esportati solo tramite un’azione esplicita dell’utente. La scelta rafforza il carattere divulgativo del progetto, pensato come una lente d’ingrandimento sulle capacità informative già presenti nel sistema operativo.

Il codice è open source e sviluppato con l’AI

Il repository pubblicato su GitHub rivela un dettaglio insolito: Loupe è stato realizzato quasi interamente con strumenti di sviluppo basati sull’Intelligenza Artificiale.

Il codice è distribuito con licenza MIT, mentre nome, logo e materiali grafici restano proprietà di Mysk. L’app supporta iOS, iPadOS e include una versione macOS ancora in fase di rifinitura. Con oltre mille stelle su GitHub a pochi giorni dalla pubblicazione, Loupe si afferma come strumento didattico concreto per chiunque voglia capire dove finisce la funzionalità legittima delle API mobili e dove inizia l’identificazione degli utenti.