211service.com
Onderzoek toont aan dat veel iPhone-apps het privacyadvies van Apple tarten
In 2011 adviseerde Apple iPhone- en iPad-apps te stoppen met het loggen van de unieke identificatiecodes van de apparaten van gebruikers, een praktijk die kan worden misbruikt om profielen op te bouwen voor advertentietargeting. Maar een nieuwe studie door onderzoekers van de Universiteit van Californië, San Diego, suggereert dat veel apps dat nog steeds doen.

Jij beslist: Onderzoekers ontwikkelden een app die kan detecteren en selectief blokkeren tot welke persoonlijke gegevens iPhone-apps toegang hebben.
Bij de MobiSys conferentie in Taiwan deze week, zullen de onderzoekers gegevens presenteren die zijn verzameld van 225.000 apps die zijn geïnstalleerd op 90.000 gewone iPhones. Uit hun analyse blijkt dat tussen februari 2012 en december 2012 48 procent van die apps toegang had tot de unieke apparaat-ID, of UDID, van de telefoon waarop ze waren geïnstalleerd. Het volledige papier is online beschikbaar (PDF) .
Het mobiele besturingssysteem van Apple, iOS, staat gewoonlijk niet toe dat apps elkaar controleren, dus de informatie is verzameld van gebruikers van gejailbreakte iPhones, waarop de gebruikelijke bedieningselementen van Apple zijn uitgeschakeld om wijziging van het apparaat en installatie van apps die niet worden aangeboden via Apple's App Winkel. De onderzoekers zeggen dat hun resultaten relevant zijn voor alle iPhone-gebruikers, omdat een grote meerderheid van de apps die worden gebruikt op gejailbreakte apparaten dezelfde zijn als die op ongewijzigde telefoons.
De app die de gegevens heeft verzameld, heet BeschermMijnPrivacy . Eenmaal geïnstalleerd, detecteert het tot welke gegevens de andere apps op een telefoon toegang proberen te krijgen. Als een app toegang probeert te krijgen tot mogelijk gevoelige gegevens, stelt ProtectMyPrivacy de eigenaar van de telefoon op de hoogte, die ervoor kan kiezen om die toegang selectief te blokkeren. Gebruikers kunnen ervoor kiezen om bijvoorbeeld te voorkomen dat een bepaalde app toegang krijgt tot hun contacten, locatie of UDID; ze kunnen ook automatische aanbevelingen toepassen over wat ze moeten blokkeren of toestaan voor bepaalde apps. De nieuwe studie is gebaseerd op gegevens die zijn verzameld van gebruikers die ervoor hebben gekozen om geanonimiseerde informatie van ProtectMyPrivacy te delen.
GERELATEERDE VERHALEN Bekijk andere artikelen van Symantec:
• Bedrijfsmobiliteit
• Veilige mobiele adviseurs
• Casestudy: Quest Diagnostics mobiliseert hun clinici en verkopers
Sinds 1 mei is het officiële beleid van Apple: apps weigeren die toegang hebben tot de UDID van een apparaat , maar het is niet bekend hoe strikt die regel wordt toegepast. Yuvraj Agarwal , die samen met collega Malcolm Hall het UCSD-onderzoek leidde, zegt dat hij ontdekte dat ongeveer 40 procent van de apps op telefoons waarop ProtectMyPrivacy is geïnstalleerd, nog steeds toegang probeert te krijgen tot de UDID van een apparaat. Sommige van die apps zijn sinds 1 mei bijgewerkt, zegt hij, wat betekent dat er een nieuwe versie is geüpload naar de iTunes Store van Apple. Dit suggereert dat Apple niet alle apps opvangt die toegang hebben tot UDID of dat het sommige apps doorlaat, ook al is bekend dat ze dat doen.
Agarwal noemt het beeld dat hij en Hall hebben ontdekt duizelingwekkend. Apps hebben nog steeds toegang tot de UDID omdat het bedrijf, om te voorkomen dat oude apps kapot gaan, de toegang ertoe niet heeft geblokkeerd in de nieuwste versie van zijn mobiele software, iOS6. Ik denk dat veel van de apps nog steeds [de UDID opnemen] alleen omdat de [interface voor het programmeren van toepassingen] beschikbaar is, zegt Agarwal.
Jeremy Linden, productmanager beveiliging bij het mobiele beveiligingsbedrijf Pas op , zegt dat zelfs als app-makers zich houden aan de richtlijnen van Apple over UDID's, ze andere manieren hebben om hun gebruikers te volgen. Het opnemen van de unieke code die is toegewezen aan de wifi-chip van een apparaat, een MAC-adres genaamd, kan bijvoorbeeld worden gebruikt om een apparaat te volgen via verschillende advertentienetwerken en analyseservices, zegt hij. En er zou geen manier zijn om je af te melden.
UDID-toegang zal verdwijnen op apparaten die upgraden naar de nieuwe iOS7-software van Apple, die eind dit jaar wordt uitgebracht. Linden zegt dat Apple ook andere maatregelen lijkt te nemen in iOS7 om te voorkomen dat apps de acties van gebruikers volgen. Voor zover ik weet, elimineren ze alle toegang tot unieke apparaat-ID's, zegt hij. Dit is geweldig voor de privacy van gebruikers en is een voorbeeld voor de branche.
Apple heeft ook een speciale identificatie gemaakt voor apps die gebruikers willen volgen. IDFA (voor identifier for advertising) is bedoeld om betere privacycontroles te bieden. Gebruikers kunnen hun IDFA om veiligheids- of privacyredenen op elk moment opnieuw instellen en het maakt ook verbinding met een functie voor het beperken van advertenties in iOS.
Een probleem dat echter blijft bestaan, is dat het relatief gesloten software-ecosysteem van het bedrijf het moeilijk maakt voor onafhankelijke onderzoekers zoals Agarwal om te onderzoeken wat apps precies doen op Apple-apparaten. De meeste academici die geïnteresseerd zijn in mobiele beveiliging en privacy werken in plaats daarvan op het Android-besturingssysteem van Google; De software van Google is gemakkelijker te knutselen en software die niet wordt aangeboden via de softwarewinkel van Google, kan nog steeds op een Android-telefoon worden geïnstalleerd. Het is ook gemakkelijker voor onderzoeks-apps om in de mobiele app store van Google te komen.
Agarwal zegt dat hij een app heeft ingediend bij de officiële Apple Store waarmee mensen de gegevens kunnen opzoeken die ProtectMyPrivacy had verzameld over apps die ze gebruikten, maar die werd afgewezen. Toen een Apple-medewerker belde om de zaak te bespreken, zei Agarwal, vroeg hij wat er moest veranderen om de app te accepteren, maar hij kreeg te horen: we hebben een probleem met het concept van de app.
Apple heeft op het moment van publicatie niet gereageerd op een verzoek om commentaar op het UCSD-onderzoek.