Data-uitwisseling tussen apps: iOS-ontwikkelaars kunnen ongevraagd geïnstalleerde apps bekijken

App-ontwikkelaars kunnen zien welke iOS-apps er op je iPhone of iPad geïnstalleerd staan, zonder dat ze daarvoor toestemming hoeven te vragen. Een bekentenis dat de TVGiDS.tv-app data over apps verzamelt, leidde tot ophef onder journalisten.
Redactie iCulture.nl - · Laatst bijgewerkt:

apps zoekeniOS-ontwikkelaars kunnen precies zien welke apps er op je iPhone aanwezig zijn, zonder dat ze daarvoor toestemming hoeven te vragen. Appbouwers kunnen die informatie gebruiken om je gerichte advertenties te tonen in hun app. Heb je veel toeristische apps geïnstalleerd? Dan krijg je reclame voor een nieuwe reisverzekering voorgeschoteld. Eigenlijk was al wel bekend dat appontwikkelaars meer kunnen achterhalen dat je denkt. Maar een presentatie van MobilePioneers op het evenement Apps en Data leidde tot nogal wat verontwaardiging.
“Spooky. Meteen verwijderd”, twitterde NOS-medewerker Rachid Finge nadat MobilePioneers bekendmaakte dat de populaire applicatie TVGiDS.tv behoorlijk wat informatie kan achterhalen. TVGiDS.tv weet welke televisieprogramma’s je kijkt, maar kijkt ook welke andere apps er op je telefoon staan. Zonder daarvoor toestemming te vragen. Gebruikers beseffen vaak niet dat het gebeurt en dat Apple het toestaat.


MobilePioneers was een van de sprekers op het evenement ‘Apps en Data’, dat gisteren op het Media Park in Hilversum werd georganiseerd. Op het evenement vertelden appbouwers over het gebruik van data in apps. Aanwezige journalisten, die onder de hashtag #immovator over het evenement tweetten (zie hieronder), reageerden verontwaardigd op de bekendmaking van MobilePioneers. Maar volgens oprichter Stijn Veeger doet hij niets verkeerds: hij verzamelt de gegevens geanonimiseerd en gebruikt dat om gericht te kunnen adverteren. Hij vraagt gebruikers geen toestemming voor het verzamelen van de data, maar hoeft dat ook niet. Volgens de privacyegels van Apple moet je voor het uitlezen van locatiegegevens, camerafoto’s en gegevens uit het adresboek wél verplicht toestemming te vragen via een pop-up. Bij informatie over geïnstalleerde apps hoeft dat niet.

Het Privacy Statement van TVGiDS.tv maakt melding van het geanonimiseerd verzamelen van data, maar wekt daarbij de indruk dat het om data uit de app zelf gaat:

Sommige gegevens die voortkomen uit één of meer bezoeken aan onze websites en applicaties worden permanent bewaard, maar wel anoniem. De gegevens zullen dus nooit te herleiden zijn naar een persoon of organisatie.

Het gaat daarbij bijvoorbeeld om tv-programma’s die je in de app hebt bekeken. Er wordt in de privacyverklaring echter niet gezegd dat er ook andere informatie van je telefoon wordt verzameld, afkomstig van buiten de app. En dat is nu juist het punt waarop tijdens de ‘Apps en Data’-bijeenkomst ophef over ontstond. Stijn Veeger zegt in een reactie aan iPhoneclub:

Wij kunnen zien wat je ooit hebt aangeklikt in de TVGiDS-app. We slaan dit nergens op. Werkt exact hetzelfde als cookies in een browser. Er staat niets op onze servers over gedrag van users.

appzapp collectieDe privacyverklaring maakt echter wel melding van het permanent opslaan van gegevens. Veeger geeft aan dat hij informatie over geïnstalleerde apps verzamelt om reclame te kunnen tonen en om gebruikers van de TVGiDS-app te kunnen doorsturen naar de IMDb-app, zodat aanvullende informatie over een film of tv-serie kan worden getoond.

Overigens is het verzamelen van informatie over geïnstalleerde apps op je iPhone niets nieuws: met diensten als appontdekker Zwapp (eveneens Nederlands) was het al mogelijk om je telefoon te scannen op geïnstalleerde apps, zodat je anderen kunt laten weten welke apps je leuk vindt. Zwapp bestaat al twee jaar, maar is de laatste tijd niet meer onderhouden. Ook in de populaire app AppZapp is een functie aanwezig om de apps op je toestel te laten herkennen (via My AppZapp > Sync your apps), zie afbeelding hiernaast. Maar bij deze apps is het scannen naar geïnstalleerde apps een bewuste handeling, die je als gebruiker zelf initieert. Het ongevraagd scannen van geïnstalleerde apps en daar acties aan koppelen (bijvoorbeeld het tonen van gerichte advertenties) vinden we een stap te ver gaan.

MobilePioneers is ontwikkelaar van zowel TvGiDS.tv, Flitsers.mobi en de weer-app Weathercube. Van alle apps zijn betaalde varianten verkrijgbaar en ook daar zien we een probleem: je legt geld neer om geen reclame te kunnen zien, maar daarmee is het verzamelen van de gegevens dus nog niet uitgesloten.

Eerlijk app-informatie delen met handleOpenURL en x-callback-url

We willen met dit artikel niet de indruk wekken dat ontwikkelaars boefjes zijn die je data doorverkopen aan schimmige partijen. Het zal best voorkomen, maar er zijn genoeg situaties te bedenken waarbij het scannen naar apps wat ons betreft acceptabel en zelfs heel erg gewenst is. Een voorbeeld: je wilt meerdere muziekinstrumenten op de iPad gebruiken en de output daarvan met elkaar combineren. Het is dan handig dat een app als Audiobus kan zien welke andere muziekapps je geïnstalleerd hebt. Audiobus moet ook de data kunnen inlezen van andere apps. Apple heeft geen enkel probleem mee met deze data-uitwisseling tussen apps; ze ondersteunen Audiobus sinds kort zelfs in Garageband. Een uitgebreid artikel over de zogenaamde inter-app-communicatie van Audiobus is te vinden op Macstories. Audiobus heeft een eigen SDK ontwikkeld die ontwikkelaars kunnen gebruiken voor input- en output-bronnen voor hun apps. Audiobus maakt daarvan een workflow van de app en toont de apps die aan een sessie deelnemen.

Er zijn twee bekende oplossingen om het uitwisselen van data tussen twee apps mogelijk te maken: handleOpenURL en x-callback-url. Heel wat apps maken er al gebruik van. HandleOpenURL wordt bijvoorbeeld ondersteund door onze iCulture-app. Ontwikkelaars kiezen dan een url-schema, zoals in ons geval iculture://. In apps als Launch Center Pro kun je dat url-schema gebruiken om vanuit deze launcherapp de iCulture-app aan te roepen. Je kunt soms ook variabelen meegeven aan een url-schema, als de ontvangende app dat ondersteunt, bijvoorbeeld tweetbot://mentions. Lang niet alle apps kunnen op deze manier worden gedetecteerd, omdat niet alle apps zo’n url-scheme aanbieden of bekendmaken dat ze het ondersteunen.

Een andere oplossing is x-callback-url, waarover we laatst hebben geschreven in het artikel over de Fantastical agenda-app. x-callback-url wordt ook gebruikt door iOS-apps als Google Chrome, Instapaper en Drafts en vormt een ‘fatsoenlijke’ methode om data tussen apps uit te wisselen. Een volledige lijst vind je hier. Data-uitwisseling tussen apps is dus niet altijd negatief. Maar het verzamelen van data zou wat ons betreft beperkt moeten worden tot de acties die je als gebruiker zélf toestaat.

Dit artikel is een gezamenlijke productie van Gonny van der Zwaag en Bart Breij. Vandaar dat geen auteursnaam is vermeld.

Reacties: 25 reacties

Reacties zijn gesloten voor dit artikel.