Data-uitwisseling tussen apps: iOS-ontwikkelaars kunnen ongevraagd geïnstalleerde apps bekijken
· Laatst bijgewerkt:
iOS-ontwikkelaars kunnen precies zien welke apps er op je iPhone aanwezig zijn, zonder dat ze daarvoor toestemming hoeven te vragen. Appbouwers kunnen die informatie gebruiken om je gerichte advertenties te tonen in hun app. Heb je veel toeristische apps geïnstalleerd? Dan krijg je reclame voor een nieuwe reisverzekering voorgeschoteld. Eigenlijk was al wel bekend dat appontwikkelaars meer kunnen achterhalen dat je denkt. Maar een presentatie van MobilePioneers op het evenement Apps en Data leidde tot nogal wat verontwaardiging.
“Spooky. Meteen verwijderd”, twitterde NOS-medewerker Rachid Finge nadat MobilePioneers bekendmaakte dat de populaire applicatie TVGiDS.tv behoorlijk wat informatie kan achterhalen. TVGiDS.tv weet welke televisieprogramma’s je kijkt, maar kijkt ook welke andere apps er op je telefoon staan. Zonder daarvoor toestemming te vragen. Gebruikers beseffen vaak niet dat het gebeurt en dat Apple het toestaat.
MobilePioneers was een van de sprekers op het evenement ‘Apps en Data’, dat gisteren op het Media Park in Hilversum werd georganiseerd. Op het evenement vertelden appbouwers over het gebruik van data in apps. Aanwezige journalisten, die onder de hashtag #immovator over het evenement tweetten (zie hieronder), reageerden verontwaardigd op de bekendmaking van MobilePioneers. Maar volgens oprichter Stijn Veeger doet hij niets verkeerds: hij verzamelt de gegevens geanonimiseerd en gebruikt dat om gericht te kunnen adverteren. Hij vraagt gebruikers geen toestemming voor het verzamelen van de data, maar hoeft dat ook niet. Volgens de privacyegels van Apple moet je voor het uitlezen van locatiegegevens, camerafoto’s en gegevens uit het adresboek wél verplicht toestemming te vragen via een pop-up. Bij informatie over geïnstalleerde apps hoeft dat niet.
Het Privacy Statement van TVGiDS.tv maakt melding van het geanonimiseerd verzamelen van data, maar wekt daarbij de indruk dat het om data uit de app zelf gaat:
Sommige gegevens die voortkomen uit één of meer bezoeken aan onze websites en applicaties worden permanent bewaard, maar wel anoniem. De gegevens zullen dus nooit te herleiden zijn naar een persoon of organisatie.
Het gaat daarbij bijvoorbeeld om tv-programma’s die je in de app hebt bekeken. Er wordt in de privacyverklaring echter niet gezegd dat er ook andere informatie van je telefoon wordt verzameld, afkomstig van buiten de app. En dat is nu juist het punt waarop tijdens de ‘Apps en Data’-bijeenkomst ophef over ontstond. Stijn Veeger zegt in een reactie aan iPhoneclub:
Wij kunnen zien wat je ooit hebt aangeklikt in de TVGiDS-app. We slaan dit nergens op. Werkt exact hetzelfde als cookies in een browser. Er staat niets op onze servers over gedrag van users.
De privacyverklaring maakt echter wel melding van het permanent opslaan van gegevens. Veeger geeft aan dat hij informatie over geïnstalleerde apps verzamelt om reclame te kunnen tonen en om gebruikers van de TVGiDS-app te kunnen doorsturen naar de IMDb-app, zodat aanvullende informatie over een film of tv-serie kan worden getoond.
Overigens is het verzamelen van informatie over geïnstalleerde apps op je iPhone niets nieuws: met diensten als appontdekker Zwapp (eveneens Nederlands) was het al mogelijk om je telefoon te scannen op geïnstalleerde apps, zodat je anderen kunt laten weten welke apps je leuk vindt. Zwapp bestaat al twee jaar, maar is de laatste tijd niet meer onderhouden. Ook in de populaire app AppZapp is een functie aanwezig om de apps op je toestel te laten herkennen (via My AppZapp > Sync your apps), zie afbeelding hiernaast. Maar bij deze apps is het scannen naar geïnstalleerde apps een bewuste handeling, die je als gebruiker zelf initieert. Het ongevraagd scannen van geïnstalleerde apps en daar acties aan koppelen (bijvoorbeeld het tonen van gerichte advertenties) vinden we een stap te ver gaan.
MobilePioneers is ontwikkelaar van zowel TvGiDS.tv, Flitsers.mobi en de weer-app Weathercube. Van alle apps zijn betaalde varianten verkrijgbaar en ook daar zien we een probleem: je legt geld neer om geen reclame te kunnen zien, maar daarmee is het verzamelen van de gegevens dus nog niet uitgesloten.
Eerlijk app-informatie delen met handleOpenURL en x-callback-url
We willen met dit artikel niet de indruk wekken dat ontwikkelaars boefjes zijn die je data doorverkopen aan schimmige partijen. Het zal best voorkomen, maar er zijn genoeg situaties te bedenken waarbij het scannen naar apps wat ons betreft acceptabel en zelfs heel erg gewenst is. Een voorbeeld: je wilt meerdere muziekinstrumenten op de iPad gebruiken en de output daarvan met elkaar combineren. Het is dan handig dat een app als Audiobus kan zien welke andere muziekapps je geïnstalleerd hebt. Audiobus moet ook de data kunnen inlezen van andere apps. Apple heeft geen enkel probleem mee met deze data-uitwisseling tussen apps; ze ondersteunen Audiobus sinds kort zelfs in Garageband. Een uitgebreid artikel over de zogenaamde inter-app-communicatie van Audiobus is te vinden op Macstories. Audiobus heeft een eigen SDK ontwikkeld die ontwikkelaars kunnen gebruiken voor input- en output-bronnen voor hun apps. Audiobus maakt daarvan een workflow van de app en toont de apps die aan een sessie deelnemen.
-
- TVGiDS data-uitwissiling spotlight
-
- TvGiDs.tv iPhone gratis-app
-
- appzapp collectie
-
- Bij AppZapp geef je bewust toestemming om de geïnstalleerde apps op je toestel te achterhalen.
-
- Launch Center Pro werkt met url-schema’s om data aan andere apps door te geven.
-
- apps zoeken
Er zijn twee bekende oplossingen om het uitwisselen van data tussen twee apps mogelijk te maken: handleOpenURL en x-callback-url. Heel wat apps maken er al gebruik van. HandleOpenURL wordt bijvoorbeeld ondersteund door onze iCulture-app. Ontwikkelaars kiezen dan een url-schema, zoals in ons geval iculture://. In apps als Launch Center Pro kun je dat url-schema gebruiken om vanuit deze launcherapp de iCulture-app aan te roepen. Je kunt soms ook variabelen meegeven aan een url-schema, als de ontvangende app dat ondersteunt, bijvoorbeeld tweetbot://mentions. Lang niet alle apps kunnen op deze manier worden gedetecteerd, omdat niet alle apps zo’n url-scheme aanbieden of bekendmaken dat ze het ondersteunen.
Een andere oplossing is x-callback-url, waarover we laatst hebben geschreven in het artikel over de Fantastical agenda-app. x-callback-url wordt ook gebruikt door iOS-apps als Google Chrome, Instapaper en Drafts en vormt een ‘fatsoenlijke’ methode om data tussen apps uit te wisselen. Een volledige lijst vind je hier. Data-uitwisseling tussen apps is dus niet altijd negatief. Maar het verzamelen van data zou wat ons betreft beperkt moeten worden tot de acties die je als gebruiker zélf toestaat.
Dit artikel is een gezamenlijke productie van Gonny van der Zwaag en Bart Breij. Vandaar dat geen auteursnaam is vermeld.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
En daarom zou iedereen met een jb tsprotector p moeten gebruiken.
Is dat zo spooky ja? Ik zie het probleem eigenlijk niet zo.
IOS apps beginnen steeds meer op een legale versies van de Android store apps te lijken. Zelf probeer ik het te voorkomen om zoveel mogelijk push ed uit te zetten en zo min mogelijk “Gratis” apps te gebruiken, maar ja als Apple dit toestaat wie weet hoeveel betaalde apps dit ook al doen. Ook hier laat Apple al weer een behoorlijke steek vallen, of…. verdienen ze er extra aan?
Of de verontwaardiging terecht is…,, dat denk ik wel. MAAR bedrijven als Google gaan nog veel verder. Ze hebben een moment gehad dat ik zelfs kon ‘uitlezen’ wie er op mijn homepage waren geweest. Naam, achternaam en emailadres. Zolang mensen maar waren ingelogd, binnen hun browser, op hun Gmail.
Ze hebben de functie voor externe partijen (ik had Woopra) eruit gehaald…. Maar ach, ze hebben het en kunnen er veel mee.
Dus het uitlezen van welke Apps ik heb….tja, fout! Maar heb erger gezien 😉
Mij maakt het niet uit. En eerlijk gezegd heb ik liever dat ik advertenties van iets krijg dat ik leuk vind dan iets anders.
Dit is echt absurd en ongehoord. Ongeacht of Apple het toestaat zou een ontwikkelaar dit soort praktijken niet moeten hanteren. Ik heb die apps gelijk van mijn apparaten afgegooid.
@Nico: stel je eens voor dat een volledig onbekende op je afstapt, je ineens feliciteert met je 41e verjaardag, complimenteert over de lamp die je gekregen hebt en vervolgens vraagt hoe het met je zieke moeder is. Hoe zou jij daar dan op reageren?
Er is niemand op deze planeet die dat als normaal ervaart. Iedereen vindt zoiets spooky. Dat is dan ook waarom het verhaal in dit artikel ook spooky is. Nog erger is de reactie van de directeur waarin hij zichzelf tegenspreekt. Als je niks opslaat kun je niet alle kliks die je ooit hebt gedaan terugzien. Als je dat laatste wel kunt dan kan dat alleen wanneer je het opslaat in een omgeving waarin je volledige controle hebt. Hij kletst uit z’n nek omdat ie weet wat voor reacties er op de datamining van z’n bedrijf komen. Dit is een wanhopige poging om iets wat krom is recht te lullen. Dat doet meer kwaad dan goed.
De cookiewetgeving in de EU en die in Nederland is er niet voor niets! Het is bedoeld om dit soort praktijken te voorkomen/fors in te perken.
Nou ik denk dat ik die tvgids maar verwijder, dan houd ik het wel bij nu.nl/tvgids.
@Sjeltur: Je uitleg in het kort: “Ik heb erger gezien, dus het is niet erg.” Die gedachtegang is pas spooky 😉
Om eerlijk te zijn maakt het mij dus helemaal niets uit. Zie het probleem niet zo. Als er al een probleem zou zijn is het dat het niet duidelijk gemeld word. Maar voor de rest, ach ja, je moet je ergens druk over kunnen maken toch 😉
@Bubbly: nu.nl is een gratis dienst van sanoma, wat normaliter betaalde bladen en diensten uitgeeft. nu.nl zal dus ook wel een systeem hebben waarmee ze geld verdienen, en zelfs als ze dat niet hebben dan hebben ze altijd nog reclames, welke zonder toestemming tracking-cookies en dergelijke kunnen installeren. Dáár zou ik pas gelukkig mee zijn zeg. Je doet er veel beter aan om – in ieder geval op je pc of mac – een ad-blocker voor je browser te installeren, dan laden je pagina’s ook nog een stuk sneller doordat de reclames niet geladen hoeven te worden.
Mooi! Nou nog een betere samenwerking tussen de apps. Bijvoorbeeld, als ik in twitter een Facebook link aanklik wil ik die openen in de facebook app en niet op de website.
Zo zijn er nog legio voorbeelden. Samenwerking tussen apps is echt dramatisch
Het is compleet irrelevant of het van Apple mag of niet. Het is in strijd met de Nederlandse wet. Namelijk met de wet bescherming persoonsgegevens. Gegevens mogen alleen mét nadrukkelijke toestemming van de gebruiker verwerkt en gebruikt worden voor doeleinden die helpen om de app bijvoorbeeld te verbeteren. Het gebruiken van andere gegevens is niet toegestaan. Dus iedereen die deze apps gebruikt zou eigenlijk aangifte moeten doen bij het college bescherming persoonsgegevens.. Wellicht stopt dit soort onzin dan op een gegeven moment.
@Willem: Dit soort bedrijven zoeken simpelweg de mazen van de wet op. Grotere bedrijven als Google doen het ook gewoon en in de meeste Apps die je downloadt is de functie waarmee je logbestanden naar de developer stuurt standaard ingesteld. De wet loopt gewoon heel erg achter op dit soort gebieden.
Leuke vergelijking, maar dat gaat niet helemaal op, aangezien niemand de gegevens die ze verzamelen terug kunnen koppelen aan een persoon. Jij gaat ervan uit dat de apps ook meteen je naam + telefoonnummer + adres enz enz enz koppelen aan welke apps jij op je telefoon hebt staan, iets wat ze dus niet doen. Ze zouden het wel kunnen, maar dat is illegaal (en levert weinig nuttigs op tegenover het risico dat het bedrijf loopt).
Dit is erg onschuldig. Wat ze hiermee doen is hun advertenties afstemmen op wat jou interesse is (of iig van wat ze denken dat die is). Daarmee kunnen ze jou gericht adverteren en vervolgens die mooie cijfers die je daarvan krijgt terug koppelen aan de adverteerders (waarmee ze dus hopen ze meer advertentie inkomsten krijgen). En raad eens wat er gebeurd met die inkomsten? Juist, die worden gebruikt om jou app te laten draaien en te verbeteren! Lijkt mij toch juist iets heel positiefs.
Daarnaast, ik zal er maar niet over beginnen dat ze al precies kunnen uitzoeken wat jij uitvreet louter en alleen doordat je telefoon aan staat, dus je hoeft paranoïde echt niet te voeden met dit artikeltje hoor. 😉
Helaas gaat die vlieger niet op omdat er hier geen sprake is van inbreuk op persoonsgegevens (tenminste, niet wat in het artikel staat). Welke apps jij op je iPhone installeert is namelijk geen persoonsgegeven volgens de wet.
@Tuanur: ‘Bijzondere persoonsgegevens zijn onder andere gegevens over iemands:
ras;
godsdienst of levensovertuiging;
politieke gezindheid;
gezondheid;
strafrechtelijke verleden;
seksuele leven;
lidmaatschap van een vakvereniging.’
En dit zijn nog maar een aantal voorbeelden. Als jij dus de holy bible-app of een kamasutra voor dummies-app hebt zegt dat zeer zeker wel wat over jou. Het probleem is simpelweg dat de wet enorm achterloopt op het gebied van technologie en dat dit soort specifieke zaken niet specifiek zijn opgenomen in haar.
Op zich heb ik hier geen probleem mee en het is iets wat hoogstwaarschijnlijk al jaren gebeurd.
Het probleem met iOS is echter dat je niet op de hoogste wordt gesteld van alle toegangseisen van de apps. Iets wat bij Android beter is geregeld.
Kijk bijvoorbeeld eens bij Whatsapp in de Google Play store onder machtigingen.
Daar staat gewoon duidelijk wat de app allemaal mag, het probleem hiervan is echter weer dat je er niks aan kunt doen behalve de app wel of niet installeren. Bij iOS kan je weer heel mooi zaken als push en lokatie voorzieningen op een centrale plek regelen, iets wat naar mijn mening moet wordne uitgebreid met veel meer machtigingen zoals deze in het artikel.
Helemaal onderaan in de Play store bij Whatsapp staat bijvoorbeeld: “ACTIEVE APPS OPHALEN
Hiermee kan de app informatie ophalen over actieve en recent uitgevoerde taken. Zo kan de app informatie vinden over welke apps op het apparaat worden gebruikt.”
Het grappige is weer dat de TvGids app deze machtiging dus niet gebruikt op Android!
Citaat van de website van de Rijksoverheid.
En ze grijpen je dus op het identificeren, want ze identificeren je niet omdat het anoniem verzameld wordt. Je kan je natuurlijk wel afvragen of deze wet (en andere wetten) niet gemoderniseerd moeten worden.
Die aanname die je hier doet is volledig onjuist. De gegevens die ze verzamelen zijn wel degelijk terug te leiden naar een persoon. Er is op dit gebied inmiddels ook al zeer veel jurisprudentie (zowel binnen NL als binnen de EU waarbij het Europees Hof ook het nodige heeft gemeld; het staat namelijk in onze wetgeving vermeld zoals in de WBP). De methodiek die men toepast heet fingerprinting. Dat werkt voor webbrowsers ook en wordt veelvuldig toegepast. Het is een vrij simpel principe: je vergaart een heleboel gegevens van diverse plekken en plakt dat aan elkaar. Dat levert een dusdanig gedetailleerd plaatje op dat je ineens een persoon kunt aanwijzen. Dat is waar het bij fingerprinting en datamining om gaat. Iets wat de overheid zelf ook al sinds jaar en dag toepast (je noemt het opsporing).
En ook dit is weer onjuist. Wat hier gebeurd is verre van onschuldig. Het is zeer uitgekiend en helaas ook aardig legaal omdat onze wetgeving er deels in te kort schiet (het zegt er bijv. niks over) en je deels ook zelf akkoord bent gegaan met de algemene voorwaarden. Dat laatste is iets wat vrijwel niemand leest en waardoor mensen dus ook totaal niet op de hoogte zijn van dit soort praktijken. Dat weten bedrijven en dus wordt daar weer gebruik van gemaakt. De consument werkt het dus ook zelf enigszins in de hand.
Dat het niets nuttigs levert is ook al vaak genoeg naar het land der fabelen verwezen. Bij het gebruik van diverse diensten is de consument inmiddels het product geworden. Weten wat je klant koopt en wil kan je enorm veel geld besparen en opleveren. Denk alleen al aan het kunnen inkopen van de juiste producten zodat je niet steeds met onverkoopbaar spul zit. Ontwikkelaars gebruiken het om dingen als de interface te verbeteren. En zo zijn er nog meer nuttige toepassingen. Het staat alleen op gespannen voet met de privacy van de gebruiker.
Dit is iets wat function creep heet. De huidige functie is nog het bovenstaande maar het kan ook prima worden gebruikt om een persoon in kaart te brengen. Function creep kan heel erg gevaarlijk zijn.
Function creep is niet positief en advertenties in apps zijn overbodig. Als je graag geld wil hebben om de app verder te kunnen ontwikkelen dan moet je daar gewoon geld voor vragen. Hetzij door een vast bedrag voor de aankoop van de app te vragen, hetzij via een abonnement, hetzij via donaties.
Grappig dat je dit zegt want wat er hier nou gepresenteerd wordt is een stukje uitleg hoe het nou kan dat ze veel van je weten. Dit artikel is dus niet meer dan de uitleg hoe ze het doen. Raar dat je dan hiervoor gaat lopen doen alsof het allemaal niets is en zelfs woorden als “onschuldig” in de mond neemt. Overigens kun je wel wat doen tegen dit soort praktijken op je telefoon (een paar voorbeelden vindt je aan het begin van de reacties).
@ppl: Wat ik even wil opmerken over je reactie is dat ik hier louter doel op bedrijven die apps maken. Niet dus op instellingen zoals CIA, AIVD en die categorie (je kan ze zelf wel aanvullen). De bedrijven zijn niet geïnteresseerd in de persoon. Zoals jij dat zelf zo leuk zei, de bedrijven zien de consument als product. Voor hun is het dus helemaal niet interessant om hun gegevens te koppelen aan een natuurlijk persoon (wat een eis is om je te kunnen beroepen op de WBP, zie het wetboek), dit juist vanwege de overduidelijke overtreding van die wet.
Het vragen van geld is natuurlijk geen oplossing, want als je €50 voor facebook per maand moet gaan betalen, €5 euro per zoekopdracht op welk willekeurig zoekmachine dan ook (ook wanneer deze op een secundaire site staat) en zelfs voor het gebruik van nieuwssites moet gaan betalen, wordt het leven voor de meeste mensen erg duur.
Juridisch is er heel veel om te doen, wat na mijn idee alleen maar goed is. Het is belangrijk om altijd goed te kijken naar dit soort dingen om te zien wanneer deze gevaarlijk worden. Helaas is het zo dat de wetgeving veel langzamer gaat dan de technologie, dus tegen de tijd dat hier solide wetgeving voor komt, is het alweer hopeloos achterhaald.
(Red.) In verband met de leesbaarheid is de enorm lange (en feitelijk onnodige) quote verwijderd.
@Tuanur: Er zijn wel degelijk bedrijven geïnteresseerd in de persoon zelf. Iedere persoon is identiek qua interesses en hobby’s, en daar zijn bedrijven als Facebook, Google, admob en noem het maar op juist zo in geïnteresseerd. Wist je bijvoorbeeld dat personen door advertentiebedrijven – en Google valt daar ook onder – worden ingedeeld op de hoeveelheid informatie die door het desbetreffende bedrijf over die persoon is vergaard en dat daaraan een bedrag wordt gekoppeld?
echt lekker boeiend :S nou en dan weten ze toch lekker wat voor apps je hebt dat mag iedereen van mij weten dat gaat mij niet schaden, en dat de advertenties dan persoonlijk worden is al helemaal niet boeiend is eerder handig ik hoef als man ook geen tampon reclames
Gelukkig zijn er veel gebruikers….
Probeer er de humor van in te zien !
Die Tvgids.nl lekkerbek eens goed testen door wat jihadistische apps te installeren en dan kijken hoe lang het duurt voordat je door de AIVD van je bed gelicht word…
Verwijderd, en ook andere apps van deze ontwikkelaar zoals Files NL
Eigenlijk hebben we een app nodig, die kijkt welke apps je hebt, en dan adviseert welke je moet verwijderen, omdat ze kijken welke apps je hebt 😉