
Toegang tot je iPhone-adresboek: wie, waarom en wat kun je doen?
De iPhone-app Path werd vorige week opeens groot nieuws, toen bleek dat de adresboeken van gebruikers ongevraagd naar de servers van de ontwikkelaar werden gestuurd. Een update en een excuus van de ontwikkelaar later is dit niet meer mogelijk, maar andere apps zijn ook in staat je adresboek ongevraagd van je iPhone te halen. Onder andere de iPhone-apps van Twitter en Foursquare blijken dit al langer te doen.
Je kunt er zelf achter proberen te komen of een iPhone-app ongevraagd jouw adresboek verzendt naar de ontwikkelaar. Door je computer als een proxyserver te gebruiken en een programma zoals mitmproxy te gebruiken, zie je wat voor data je iPhone verstuurt en ontvangt. Hoe je dit doet wordt uitgelegd op het blog van Arun Thampi, die via deze methode Path’s praktijken ontdekte.
Onder andere Foursquare bleek volgens deze methode adresboekinformatie te versturen. De locatiedienst verstuurde de informatie ongevraagd nadat je een account had aangemaakt. Inmiddels heeft de ontwikkelaar een update voor de app uitgebracht, die ervoor zorgt dat je wordt gevraagd of je adresboek opgestuurd mag worden. Daarnaast beweert Foursquare de gegevens niet op te slaan.
https://twitter.com/#!/4sqSupport/status/169478181089320961
Twitter maakt zich ook schuldig aan het opslaan van deze gegevens. Door op de knop ‘Find My Friends’ te drukken wordt je adresboek automatisch naar het sociale netwerk verzonden, waar de adresgegevens voor 18 maanden op de servers blijven staan. Een toekomstige update van Twitter moet dit duidelijker maken voor gebruikers, door termen zoals ‘Upload your contacts’ te gebruiken.
Zowel Twitter als Foursquare versturen de informatie versleuteld, maar er zijn apps die de informatie onveilig verzenden. De iPhone-app Hipster verzendt bijvoorbeeld je adresboekgegevens via een HTTP GET-verzoek, waardoor een groot deel van je gegevens in een onveilige URL wordt verzonden. Deze URL’s kunnen onder andere bekeken worden door je provider.
Het probleem lijkt deels te liggen bij iOS, dat het mogelijk maakt voor ontwikkelaars om ongevraagd dergelijke informatie te versturen. Terwijl Steve Jobs in een interview in 2010 juist tegenstander van dit soort praktijken leek te zijn. Toen verklaarde hij nog dat Apple veel apps heeft afgewezen omdat ze persoonlijke data wilde gebruiken en versturen. De voormalig CEO vond dat ontwikkelaars eerst toestemming moesten vragen voordat gebruikers informatie delen. Ook zouden de ontwikkelaars moeten uitleggen waarom de informatie nodig is. Maar gek genoeg is het standpunt van Jobs niet terug te vinden in de praktijk van iOS.
De bekende iOS-ontwikkelaar Marco Arment gaf een paar dagen geleden ook openheid van zaken over de hoeveelheid gegevens die zijn app Instapaper kan inzien. Hij vindt dat iOS hem als ontwikkelaar teveel toegang tot het adresboek geeft, zonder de gebruikers toestemming te vragen. Apple moet de Adress Book API aanpassen, zodat er toestemming wordt gevraagd voordat een ontwikkelaar de gegevens kan inzien. Bij Android gebeurt dat al, al wordt er vaak nogal ruim toestemming gevraagd en is het lang niet altijd duidelijk waarom een songteksten-app toegang tot je adresboek nodig heeft.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
WhatsApp, Viber…?
Ik vind het ronduit schandalig dat bepaalde apps zonder dat je het weet adresboekinformatie versturen naar anderen. Facebook deed het ook want plotseling stonden mijn contacten uit mijn iPhone op Facebook. Wat is dit voor idioterie? ik vind het belachelijk brutaal en ik vind dat Apple haar ontwikkelaars zeer streng op moet controleren en aan moet spreken. En Apple moet hier op aangesproken worden door consumentenorganisaties e.d. is toch te gek voor woorden dit.
en de twee andere vragen in de titel dan “waarom en wat kun je doen ?”
“Twitter maakt zich ook schuldig aan het opslaan van deze gegevens.” Vreemd om het bijwoord “ook” te gebruiken als de voorgaande zin luidt: ” Daarnaast beweert Foursquare de gegevens niet op te slaan.”
Los hiervan: ik vind dit zorgelijke berichten.
Wat een idioot beveiligingslek.
Je locatie, downloadleeftijd e.d. zijn kennelijk wel de moeite waard om te beveiligen.
Waarom dit dan niet ?
Dat krijg je er van als je zo “sociaal” door het leven wilt gaan met al dan onzin dingen als twitter facebook hyves en ga zo maar door.
Ik ga toch maar eens beter nadenken als een App toegang wilt tot mijn adresboek. :-S
Het grote probleem is dat je misschien zelf je gegevens wil doorgeven maar de gegevens van je contacten worden zonder toelating en medeweten ook op servers gezet. Kan volgens mij niet wettelijk zijn!
@Wessel Meijer: Wat gebeurde er dan precies op facebook met je contacten?
@dmr: Dat vind ik nou ook, gewoon lekker binnen blijven zitten, geen last van het weer. Waar heb jij in vredesnaam een computer voor nodig? Gewoon niet lezen, hoven we ook jouw reactie niet te zien 😉
Tsja maar in hoeverre is de NL wet hierop van toepassing…