‘Populaire iOS-apps sturen ongevraagd locatie door naar data-exploitanten’
De bedrijven verdienen geld met de data. De apps zijn gewoon beschikbaar in de App Store, ondanks Apple’s strenge privacybeleid. Dit werd ontdekt door Will Strafach, een bekende beveiligingsonderzoeker. Volgens Strafach zijn er meerdere populaire iOS-apps die stiekem de nauwkeurige locatiehistorie van tientallen miljoenen toestellen verzamelen en dit doorverkopen. Ze gebruiken hiervoor kant en klare code, die beschikbaar wordt gesteld door data-exploitanten. Sommige apps sturen constant de GPS-coördinaten door. Een tijdje geleden was in het nieuws dat Apple apps had verwijderd die je locatie ongevraagd doorsturen, maar volgens dit onderzoek gebeurt het nog steeds op grote schaal.
In iOS heb je zelf de keuze of je apps toegang geeft tot je locatie. Er zijn echter apps waarbij dat nodig is, zoals een weerapp waarin je kunt zien hoe het weer is op jouw huidige locatie. Je hebt alleen iets aan zo’n app als je je locatie laat detecteren. Terwijl jij denkt dat de ontwikkelaar alleen die locatie gebruikt om de juiste weerinformatie te kunnen leveren, wordt de data ook meteen doorverkocht. Dit geldt ook voor fitnessapps: daarmee wil je de afgelegde route van je wandel- of hardlooprondje zien, terwijl de data in werkelijkheid voor nog meer doeleinden wordt gebruikt.
Dergelijke apps vragen wel toestemming om je locatie op te vragen, maar zeggen er niet bij dat ze het voor meer doeleinden gebruiken. Volgens Strafach melden veel apps niet dat ze de data delen met derden.
Het gaat om de volgende informatie:
- GPS lengte- en breedtegraad
- Data van Bluetooth LE beacons
- Wi-Fi SSID (netwerknaam) en BSSID (netwerk MAC-adres)
Daarnaast verzamelen sommige apps ook nog:
- Data van de versnellingsmeter (accelerometer, X-, Y- en Z-as)
- Advertentie-identifier (IDFA)
- Batterijpercentage en status (wel/niet aan de lader)
- Mobiele netwerk MCC/MNC
- Naam van het mobiele netwerk
- GPS-hoogte en/of snelheid
- Tijdstip van aankomst en vertrek op een bepaalde locatie
Dat laatste (tijdstip van aankomst en vertrek) is iets wat Google bijvoorbeeld ook verzamelt en in Google Maps laat zien. Als je een bepaalde locatie opzoekt krijg je te zien hoeveel tijd mensen er gemiddeld doorbrengen en hoe druk het er is. Op die manier heb je zelf ook nog iets aan de info die via andere gebruikers is verzameld.
Bij het onderzoek van Will Strafach gaat het echter om andere apps die ongemerkt je locatie volgen. Denk daarbij aan GasBuddy, MyRadar NOAA, ASKfm en PayByPhone Parking. Dit zijn apps die vooral op de VS zijn gericht. Er zijn echter ook algemenere apps die overal te gebruiken zijn, zoals de hardloop-app C25K 5K Trainer. Het gaat vaak om apps met duizenden beoordelingen in de App Store, wat wel aangeeft hoe populair ze zijn.
Strafach ontdekte 12 bedrijven die de data exploiteren, waaronder RevealMobile. De code hiervan wordt gebruikt in bijna 100 regionale nieuwsapps. Wat deze apps doen, mag eigenlijk niet: ze vragen toestemming om de data te delen voor maar één doel, namelijk het tonen van relevante informatie. Maar ondertussen gebruiken ze je data ook om die weer door te verkopen, zonder daar toestemming voor te hebben gevraagd.
Dit kun je zelf doen
Als er apps in het onderzoek worden genoemd die je gebruikt, dan is de eenvoudigste oplossing natuurlijk om de app te wissen. Je zou ook advertentietracking kunnen uitschakelen. Ook kun je van alle apps die je gebruikt kunnen checken of je locatie deelt en of dat wel nodig is voor een goede werking. Sommige apps kun je ook gebruiken door handmatig je locatie in te voeren in plaats van het automatisch en continu delen van je locatie. Tenslotte kun je zorgen dat een app alleen je locatie mag weten als je de app actief gebruikt en niet op andere momenten. Apps die je maar tijdelijk gebruikt, bijvoorbeeld een toeristische app van een regio, kun je na je vakantie het beste weggooien.
Andere adviezen zijn bijvoorbeeld het uitschakelen van Bluetooth op momenten dat het niet nodig is. Voor je thuisnetwerk zou je een heel algemene naam moeten kiezen, bijvoorbeeld ‘Thuis’ in plaats van je straatnaam.
Je kunt het volledige rapport lezen op de website GuardianApp.com.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
Reacties: 9 reacties