211service.com
Wil je mensen volgen? Daar is een app voor
Volgens een recent onderzoek verzamelt en deelt meer dan de helft van alle iPhone-apps een unieke code die kan worden gebruikt om gebruikers zonder hun medeweten te volgen.
Manuel Egele, een doctoraalstudent aan de Technische Universiteit van Wenen, en drie andere onderzoekers onderzochten hoe meer dan 1.400 iPhone-apps met gebruikersgegevens omgaan. Slechts een klein aantal schendt schaamteloos de privacy: 36 kregen toegang tot de locatie van het apparaat zonder de gebruiker eerst te informeren; nog eens vijf ontgonnen gegevens uit het adresboek van de gebruiker zonder toestemming. Het onderzoek wordt begin februari gepresenteerd op het Network and Distributed System Security Symposium.
Meer dan de helft van de onderzochte iPhone-applicaties verzamelde echter de apparaat-ID: een 40-cijferig hexadecimaal nummer dat een bepaalde telefoon identificeert. Meer dan 750 van de onderzochte apps gebruikten een soort trackingtechnologie. In ongeveer 200 gevallen creëerde de ontwikkelaar een manier om de identificatiecode van een apparaat te volgen; de andere apps gebruikten deze functionaliteit uit de bibliotheek met advertenties of trackingsoftware. Het onderzoek van Egele zal begin februari worden gepresenteerd op het Network and Distributed System Security Symposium.
Er is een potentieel voor bedrijven die niet al te legitiem zijn om profielen van hun gebruikers op te bouwen, zegt Egele. De identifier [code] is niet gekoppeld aan een gebruikersnaam, maar je zou hem kunnen koppelen aan een Facebook-account, en dat zou je veel informatie over de gebruiker geven, inclusief – meestal – hun echte naam.
Apple, dat onlangs zijn 10 miljardste App Store-download vierde, toetst applicaties en vereist dat ontwikkelaars autorisatie vragen om toegang te krijgen tot de gegevens van gebruikers. Er is echter weinig bekend over hoe het bedrijf elke app controleert.
Je weet niet precies wat deze apps doen: ze komen niet van grote ontwikkelaars, maar van gewone mensen, zegt Charlie Miller, een iPhone-beveiligingsexpert en hoofdanalist bij Independent Security Evaluators. De iPhone beperkt automatisch wat programma's kunnen doen met behulp van een zogenaamde sandbox, maar deze beperkingen zijn niet erg streng, wat betekent dat het niet moeilijk is om persoonlijke gegevens te verzamelen, zegt Miller. Ze draaien wel in een zandbak, maar het is een vrij soepele zandbak.
De vier onderzoekers analyseerden 825 gratis apps in de App Store van Apple en nog eens 582 apps in de Cydia-repository, een service die software beschikbaar stelt aan gebruikers die de beveiligingsmaatregelen van Apple van hun iPhones hebben verwijderd, een proces dat bekend staat als jailbreaking.
Egele en zijn collega's definieerden een schending van de privacy als een incident waarbij een programma gevoelige gegevens - adressen, telefoonnummers, e-mailaccountgegevens - van het apparaat leest en die gegevens zonder toestemming via internet verzendt. De onderzoekers konden niet achterhalen of de gebruiker misleid was om toestemming te geven.
De beschrijving van privacy die we bedachten, is dat we niet wilden dat gevoelige gegevens van het mobiele apparaat werden geëxtraheerd zonder dat de gebruiker het wist, zegt Egele. Maar we kunnen niet zeggen of het kwaadaardig is of niet.
De onderzoekers ontwikkelden software om de functionaliteit van elk programma te testen en te bepalen of het gevoelige informatie heeft verzameld en verzonden zonder de gebruiker hiervan op de hoogte te stellen. Ze moesten ook ontcijferen hoe bepaalde apps werken met slechts beperkte informatie.
Een interessant inzicht uit het onderzoek: apps uit de App Store hadden meer kans om heimelijk toegang te krijgen tot gebruikersgegevens dan apps uit de ongecontroleerde Cydia-repository, zegt Egele.
Miller zegt dat Apple zijn proces voor het doorlichten van applicaties moet verbeteren. Er is geen gemakkelijke oplossing voor het probleem, maar het hebben van een centraal verrekenkantoor (zoals Apple) is de beste manier om het te doen, zegt hij. Maar op dit moment doet Apple het waarschijnlijk niet goed.