Onderzoekers ontdekken dat iPhone-apps in het geheim gegevens verzamelen wanneer ze u meldingen sturen

By | January 25, 2024

iPhone-apps als Facebook, LinkedIn, TikTok en X/Twitter omzeilen de privacyregels van Apple door gebruikersgegevens te verzamelen via meldingen, zo blijkt uit tests van beveiligingsonderzoekers Mysk Inc., een app-ontwikkelingsbedrijf. Gebruikers sluiten soms apps af om te voorkomen dat ze op de achtergrond gegevens verzamelen. Deze techniek omzeilt deze bescherming echter. De gegevens zijn niet nodig voor het verwerken van meldingen, aldus de onderzoekers, en lijken verband te houden met analyses, reclame en het volgen van gebruikers op verschillende apps en apparaten.

Het is normaal dat apps manieren vinden om meer gegevens te verzamelen, maar “we waren verrast toen we hoorden dat deze praktijk wijdverbreid was”, zegt Tommy Mysk, die de tests samen met Talal Haj Bakry uitvoerde. “Wie had ooit gedacht dat een onschuldige actie als het weigeren van een melding ertoe zou leiden dat er veel unieke apparaatinformatie naar externe servers zou worden verzonden? Het is zorgelijk als je bedenkt dat ontwikkelaars dit op aanvraag kunnen doen.”

Deze specifieke apps zijn geen ongewone schurken. Volgens de onderzoekers is het een wijdverbreid probleem dat het iPhone-ecosysteem teistert.

Dit is niet de eerste keer dat de tests van Mysk gegevensproblemen bij Apple aan het licht hebben gebracht, dat talloze miljoenen heeft uitgegeven aan pogingen om de wereld ervan te overtuigen dat “wat er op je iPhone gebeurt, op je iPhone blijft.” In oktober 2023 ontdekte Mysk dat een veelgeprezen iPhone-functie was ontworpen om details over je wifi-adres te beschermen is niet zo privé als het bedrijf belooft. In 2022 werd Apple getroffen meer dan een dozijn class action-rechtszaken nadat Gizmodo de ontdekking van Mysk had gerapporteerd dat Apple gegevens over zijn gebruikers verzamelde zelfs nadat ze de schakelaar hebben omgezet naar een iPhone-privacy-instelling die belooft “het delen van apparaatanalyses helemaal uit te schakelen.”

De gegevens lijken op informatie die wordt gebruikt voor ‘vingerafdrukken’, een techniek die bedrijven gebruiken om u te identificeren op basis van verschillende ogenschijnlijk onschadelijke details over uw apparaat. Vingerafdrukken omzeilen de privacybescherming om mensen te volgen en hen gerichte advertenties te sturen – en Apple verbiedt bedrijven dit specifiek. iPhones en andere Apple-producten hebben veel instellingen en regels die zijn ontworpen om u controle te geven over wanneer bedrijven u kunnen identificeren en gegevens kunnen verzamelen.

#Privacy: Facebook, TikTok en andere apps gebruiken pushmeldingen om gegevens via je iPhone te verzenden

Uit de tests bleek bijvoorbeeld dat wanneer u reageert op een melding van Facebook, de app IP-adressen verzamelt, het aantal milliseconden sinds uw telefoon opnieuw is opgestart, de hoeveelheid vrije opslagruimte op uw telefoon en een verscheidenheid aan andere details. De combinatie van dergelijke gegevens is voldoende om een ​​persoon met hoge nauwkeurigheid te identificeren. De andere apps in de test verzamelden vergelijkbare informatie. LinkedIn gebruikt bijvoorbeeld meldingen om bij te houden in welke tijdzone u zich bevindt, wat de helderheid van uw scherm is en welke draadloze provider u gebruikt, evenals een verscheidenheid aan andere informatie die specifiek verband lijkt te houden met advertentiecampagnes. zei Mysk.

Het feit dat een app deze informatie kan verzamelen, betekent niet dat hij deze ook zal gebruiken.

Meta, eigenaar van Facebook, zei dat de conclusies van Mysk een verkeerde interpretatie waren. “De resultaten kloppen niet. “Mensen loggen in op onze app op hun apparaat en geven toestemming om meldingen in te schakelen”, zegt Emil Vazquez, een woordvoerder van Meta. “We kunnen deze informatie periodiek gebruiken, zelfs als de app niet actief is, om tijdige en betrouwbare meldingen te geven met behulp van de API’s van Apple. Dit is in lijn met ons beleid.”

LinkedIn deelde een soortgelijke verklaring. “We gebruiken meldingen niet als een manier om ledengegevens te verzamelen voor advertenties of gerelateerde analyses, cross-device of cross-app tracking”, aldus een woordvoerder van LinkedIn. “Alle gegevens die aan meldingen zijn gekoppeld, worden alleen gebruikt om te bevestigen dat een melding succesvol is verzonden en worden nooit extern gedeeld.” Apple, TikTok en X/Twitter hebben niet onmiddellijk gereageerd op de vragen van Gizmodo voor dit artikel.

Deze details zijn niet bijzonder gevoelig in vergelijking met locatiegegevens, maar zijn waardevol voor reclame- en andere doeleinden. Wat veel mensen zich niet realiseren is dat gerichte reclame en andere inbreuken op de digitale privacy allemaal te maken hebben met het achterhalen van uw identiteit. Bedrijven weten wat je doet in hun apps, maar ze weten niet altijd wie je bent, en gegevens zijn veel minder nuttig als je niet weet wie het is. Als bedrijven u niet kunnen identificeren, kunnen ze u ook niet targeten met advertenties.

Apple biedt een speciaal advertentie-ID-nummer dat speciaal is ontworpen om het verzamelen van gegevens en gerichte advertenties te vergemakkelijken, maar instellingen zoals de “Vraag de app om niet te volgen‘Controleer deze advertentie-ID. In theorie is dit bedoeld om te voorkomen dat bedrijven informatie over u en uw gedrag uit verschillende apps en andere delen van internet verzamelen. Maar vingerafdrukken zijn toch een stiekeme manier om dit te blijven doen.

Apps kunnen dit soort gegevens over u verzamelen wanneer ze geopend zijn, maar het sluiten van een app is bedoeld om de gegevensstroom te stoppen en te voorkomen dat een app überhaupt actief is. Het lijkt er echter op dat meldingen een achterdeur bieden.

Apple levert speciale software om uw apps te helpen meldingen te verzenden. Voor sommige meldingen kan het nodig zijn dat de app een geluid afspeelt of tekst, afbeeldingen of andere informatie downloadt. Wanneer de app wordt gesloten, wekt het iPhone-besturingssysteem de app tijdelijk om contact op te nemen met de servers van het bedrijf, u de melding te sturen en eventuele andere noodzakelijke taken uit te voeren. De gegevensverzameling die Mysk ontdekte vond plaats in dit korte tijdsbestek.

“Je kunt opzettelijk een melding naar een doelapparaat sturen, zodat de app op de achtergrond start en details terugstuurt”, aldus Mysk. Of als een bedrijf als TikTok of X/Twitter een snelle update wil van de IP-adressen van 100.000 mensen van wie de apps gesloten zijn, is een snelle melding voldoende. ‘Het is overweldigend,’ zei hij.

Het is volkomen logisch dat een app wil analyseren hoe gebruikers omgaan met meldingen om zijn diensten te optimaliseren. Mysk zei echter dat er enkele redenen zijn om aan te nemen dat apps deze gegevens om deze reden niet verzamelen.

In de eerste plaats Appel geeft details aan app-ontwikkelaars Ontdek meteen wat er gebeurt met meldingen, zodat u geen extra informatie hoeft te verzamelen over wat er is gebeurd nadat u uw gebruikers hebt gepingd. Bovendien lijkt een groot deel van de gegevens die apps verzamelen niets te maken te hebben met het analyseren van de status van meldingen, zoals de beschikbare opslagruimte van je telefoon of de tijd sinds je laatste herstart, zei Mysk.

Bovendien versturen andere data-hongerige bedrijven waarschuwingen zonder al deze andere informatie op te nemen. Toen Mysk bijvoorbeeld Gmail en YouTube testte, verzamelden de apps alleen gegevens die duidelijk verband hielden met de verwerking van meldingen. Mysk zei dat als een bedrijf als Google je een melding kan sturen zonder andere details te bespioneren, dit suggereert dat er bijbedoelingen zijn voor de gegevensverzameling die het heeft ontdekt.

Er zijn een paar mogelijk goedaardige verklaringen voor het probleem met meldingsgegevens. Ontwikkelaars laten bijvoorbeeld soms oude code achter in hun apps die functies uitvoert die bedrijven niet langer nodig hebben. Het is theoretisch mogelijk dat een app als LinkedIn wordt ingesteld om gegevens te verzamelen die voor geen enkel doel worden gebruikt. De onderzoekers zeiden echter dat dit moeilijk te geloven was.

Er is een aanstaande wijziging in de regels van het iPhone-besturingssysteem die de situatie zou kunnen verbeteren, maar het is niet duidelijk of dit het probleem zal oplossen. Vanaf voorjaar 2024 gaan app-ontwikkelaars dit doen verplicht om uit te leggen waarom en hoe ze bepaalde ‘API’s’ gebruiken, die in deze context in wezen stukjes software zijn die apps gebruiken om met elkaar en met het iPhone-besturingssysteem te communiceren.

In theorie zou dit het bedrijf kunnen dwingen bekend te maken waarom ze je in de gaten houden – en als ze gegevens verzamelen voor onwettige doeleinden, moeten ze mogelijk stoppen. “Het slechte nieuws is dat het onduidelijk is hoe Apple dit zal afdwingen”, aldus Mysk.

Helaas heb je misschien gehoord dat grote bedrijven soms liegen, wat deze oplossing en Apple in de weg zou staan heeft geen uitmuntend trackrecord soortgelijke regels af te dwingen.

Leave a Reply

Your email address will not be published. Required fields are marked *