Uitgelicht
Apple Black Friday
UPDATED
Toon of verberg de lijst met posts
Digital fingerprinting

‘Apps volgen je stiekem via reclames en iPhone-notificaties’

Beveiligingsonderzoeker Tommy Mysk laat zien dat pushmeldingen van populaire apps kunnen worden gebruik om gegevens over de gebruiker te versturen. Ander onderzoek bevestigt dat met de spionagetool Patternz hetzelfde mogelijk is.

Notificaties maken misbruik van achtergrondprocessen

Mysk toont aan hoe bepaalde iOS-apps misbruik maken van een functie die sinds iOS 10 bestaat. Het gaat daarbij om de mogelijkheid om pushberichten van apps aan te passen. Oorspronkelijk was dit bedoeld om de meldingen te verrijken met extra inhoud, maar je blijkt het ook op een andere manier te kunnen gebruiken. TikTok, Facebook, X, LinkedIn en Bing maken misbruik van de mogelijkheden en verzamelen heimelijk data over de gebruiker, in de korte tijd dat achtergrondactiviteiten zijn toegestaan.

Het werkt als volgt: wanneer een app een pushmelding ontvangt, wordt de app door iOS op de achtergrond gewekt en krijgt deze beperkt de tijd om de melding aan te passen, voordat deze aan de gebruiker wordt gepresenteerd. Dit kan handig zijn om de melding nuttiger te maken, zoals het downloaden van aanvullende inhoud. Zodra de app klaar is met het aanpassen van de melding, wordt de achtergrondactiviteit gestopt. Maar volgens Mysk maken veel apps misbruik van deze mogelijkheid, door gedetailleerde informatie over het apparaat te verzenden, terwijl ze nog op de achtergrond actief zijn. Het zou gaan om landinstelling, toetsenbordtaal, beschikbaar geheugen, batterijstatus, apparaatmodel en dergelijke. Deze info kan worden gebruikt om een soort ‘digitale vingerafdruk’ te maken. Op basis daarvan is het mogelijk om de gebruiker in de loop van de tijd te volgen en bijvoorbeeld gerichte reclame te tonen.

Reactie van Apple

Zo kunnen de apps beperkingen omzeilen die Apple voor apps van derden heeft ingesteld. Normaal gelden er strenge regels over apps die op de achtergrond draaien. Bij de pushmeldingen is de achtergrondactiviteit korte tijd toegestaan en dat biedt kansen voor bedrijven die graag hun gebruikers volgen.

Het verzamelen van dergelijke digitale vingerafdrukken is niet toegestaan volgens de regels van Apple. Het bedrijf heeft gereageerd, door te zeggen dat ontwikkelaars voortaan redenen moeten op geven waarom ze de unieke eigenschappen van een toestel nodig hebben. Dit zijn eigenschappen die gewoonlijk worden gebruikt voor fingerprinting.

Patternz volgt je via advertenties

Een ander onderzoek is gedaan door 404 Media en gaat over de tool Patternz. Hierbij kwam boven water dat advertenties in apps kunnen worden gebruikt om iPhone-gebruikers ter herkennen en te volgen. Tegenwoordig moet je expliciet toestemming geven voordat apps je mogen volgen. Omdat veel gebruikers dit weigeren gingen bedrijven op zoek naar een achterdeurtje. Ook dit werkt met digitale vingerafdrukken. Telkens wanneer je een website bezoekt geef je bepaalde data door aan de browser, om te zorgen dat de site goed wordt weergegeven. De website moet bijvoorbeeld weten of je de website op een klein iPhone-scherm of op een veel groter Mac-scherm wilt bekijken. Gaandeweg zijn browsers steeds meer gegevens gaan verzamelen.

Patternz is een spionagetool die via advertenties miljarden personen in de gaten houdt. Honderduizenden veelgebruikte apps zoals 9gag en Kik maken er gebruik van. Patternz sluit deals met kleine advertentienetwerken die bereid zijn om digitale vingerafdrukken van apparaten te verzamelen. In marketingmateriaal zeggen de makers dat Patternz zich vooral richt op nationale veiligheidsdiensten, maar ook adverteerders zijn geïnteresseerd. Aan de hand van gps-coördinaten is tot op de meter nauwkeurig te achterhalen waar de persoon geweest is en wordt het gemakkelijk om het woon- en werkadres te raden. Ook het merk telefoon en het besturingssysteem zijn bekend. Al die gegevens worden vervolgens gebruikt om gerichte advertenties te kunnen tonen. Adverteerders kunnen vervolgens op basis van de verzamelde digitale vingerafdruk zorgen dat hun reclame precies bij de personen met het juiste profiel terecht komt. 404 Media zegt dat ruim 60.000 iOS-apps op deze manier worden gebruikt, zonder dat de ontwikkelaar er weet van heeft.

Eerder was in het nieuws dat ook de pushmeldingen zelf niet veilig zijn: ze zijn gemakkelijk af te tappen door overheidsinstanties. Uit de informatie die in zo’n bericht wordt getoond valt vaak veel af te leiden over de gebruiker. Verder schreven we in het verleden ook al eens over apps die je ongevraagd volgen, ook als je daar geen toestemming voor hebt gegeven.

Bekijk ook
Apple geeft toe dat aftappen van pushmeldingen mogelijk is

Apple geeft toe dat aftappen van pushmeldingen mogelijk is

Apple heeft bevestigd dat zogenaamde ‘push notificatie spionage’ door overheidsinstanties mogelijk is. Niet nader genoemde landen kunnen bij Apple en Google informatie opvragen over de pushmeldingen die naar smartphonegebruikers zijn gestuurd. En daaruit valt veel vertrouwelijke informatie af te leiden, waaronder het Apple ID.

Reacties: 1 reacties

Reacties zijn gesloten voor dit artikel.