7 In 10 Smartphone-apps Deel uw gegevens met diensten van derden

7 In 10 Smartphone-apps Deel uw gegevens met diensten van derden
Foto's van smartphones zijn geotagged, zelfs als de gebruiker niet op de hoogte is. Smartphone-gebruikers kunnen hun privacy-instellingen aanpassen om te beperken wie hun locaties met geotags kan bekijken. (Photo Credit: US Army Graphic)

Onze mobiele telefoons kunnen veel onthullen over onszelf: waar we wonen en werken; wie onze familie, vrienden en kennissen zijn; hoe (en zelfs wat) we met hen communiceren; en onze persoonlijke gewoonten. Met alle informatie die erop is opgeslagen, is het niet verrassend dat gebruikers van mobiele apparaten stappen nemen om hun privacy te beschermen, zoals met behulp van pincodes of toegangscodes om hun telefoons te ontgrendelen.

Het onderzoek dat wij en onze collega's aan het doen zijn, identificeert en onderzoekt een belangrijke bedreiging die de meeste mensen missen: Meer dan 70 procent of smartphone-apps rapporteren persoonlijke gegevens aan trackingbedrijven van derden zoals Google Analytics, de Facebook Graph API of Crashlytics.

Wanneer mensen een nieuwe Android- of iOS-app installeren, vraagt ​​het de gebruiker om toestemming voordat hij toegang heeft tot persoonlijke informatie. Over het algemeen is dit positief. En sommige informatie die deze apps verzamelen, is nodig om goed te werken: een kaartapp zou niet zo handig zijn als hij geen GPS-gegevens kon gebruiken om een ​​locatie te krijgen.

Maar zodra een app toestemming heeft om die informatie te verzamelen, kan hij uw gegevens delen met iedereen die de ontwikkelaar van de app wil: derde bedrijven laten achterhalen waar u bent, hoe snel u zich verplaatst en wat u doet.

De hulp en het gevaar van codebibliotheken

Een app verzamelt niet alleen gegevens voor gebruik op de telefoon zelf. Door apps in kaart te brengen, verzendt u bijvoorbeeld uw locatie naar een server die door de ontwikkelaar van de app wordt uitgevoerd om de routebeschrijving te berekenen van waar u zich bevindt naar een gewenste bestemming.


Haal het laatste uit InnerSelf


De app kan ook elders gegevens verzenden. Net als bij websites worden veel mobiele apps geschreven door verschillende functies te combineren, vooraf bepaald door andere ontwikkelaars en bedrijven, in zogenaamde 'third-party' bibliotheken. Deze bibliotheken helpen ontwikkelaars houd gebruikersbetrokkenheid bij, verbinden met sociale media en verdien geld door advertenties weer te geven en andere functies, zonder ze vanaf nul te hoeven schrijven.

Naast de waardevolle hulp verzamelen de meeste bibliotheken echter ook gevoelige gegevens en sturen deze naar hun online servers - of naar een ander bedrijf helemaal. Succesvolle bibliotheekauteurs kunnen mogelijk gedetailleerde digitale profielen van gebruikers ontwikkelen. Een persoon kan bijvoorbeeld een app toestemming geven om hun locatie te weten en een andere app heeft toegang tot hun contacten. Dit zijn aanvankelijk afzonderlijke machtigingen, één voor elke app. Maar als beide apps dezelfde externe bibliotheek gebruiken en verschillende soorten informatie delen, kan de ontwikkelaar van de bibliotheek de stukken aan elkaar koppelen.

Gebruikers zouden het nooit weten, omdat apps gebruikers niet moeten vertellen welke softwarebibliotheken ze gebruiken. En slechts heel weinig apps publiceren hun beleid over gebruikersprivacy; als ze dat doen, is het meestal in lange juridische documenten een gewoon persoon zal niet lezen, veel minder begrijpen.

Lumen ontwikkelen

Ons onderzoek wil laten zien hoeveel gegevens potentieel worden verzameld zonder de kennis van gebruikers en om gebruikers meer controle over hun gegevens te geven. Om een ​​beeld te krijgen van wat gegevens worden verzameld en verzonden vanaf smartphones van mensen, ontwikkelden we een gratis Android-app van ons, genaamd de Lumen Privacy Monitor. Het analyseert de verkeers-apps die worden uitgezonden om te rapporteren welke applicaties en online services actief persoonlijke gegevens verzamelen.

Omdat Lumen over transparantie gaat, kan een telefoongebruiker de informatie zien die geïnstalleerde apps in realtime verzamelen en met wie zij deze gegevens delen. We proberen de details van verborgen gedrag van apps op een eenvoudig te begrijpen manier te tonen. Het gaat ook om onderzoek, dus we vragen gebruikers of ze ons in staat zullen stellen om wat gegevens te verzamelen over wat Lumen waarneemt in hun apps, maar dat omvat geen persoonlijke of privacygevoelige gegevens. Met deze unieke toegang tot gegevens kunnen we bestuderen hoe mobiele apps persoonlijke gegevens van gebruikers verzamelen en met wie ze gegevens delen op een ongekende schaal.

Lumen houdt met name bij welke apps op apparaten van gebruikers worden uitgevoerd, of ze nu privacygevoelige gegevens uit de telefoon verzenden, naar welke internetsites ze gegevens verzenden, welk netwerkprotocol ze gebruiken en welke soorten persoonlijke gegevens elke app verzendt naar elke site. Lumen analyseert appsverkeer lokaal op het apparaat en anoniseert deze gegevens voordat ze naar ons worden verzonden voor onderzoek: als Google Maps de GPS-locatie van een gebruiker registreert en dat specifieke adres naar maps.google.com verzendt, vertelt Lumen ons: "Google Maps heeft een GPS-locatie en stuurde deze naar maps.google.com "- niet waar die persoon is.

Trackers zijn overal

Meer dan 1,600-mensen die Lumen sinds oktober hebben gebruikt Met 2015 konden we meer dan 5,000-apps analyseren. We ontdekten dat 598-internetsites gebruikers waarschijnlijk zullen volgen voor reclamedoeleinden, waaronder sociale-mediaservices zoals Facebook, grote internetbedrijven zoals Google en Yahoo, en online marketingbedrijven onder de paraplu van internetproviders zoals Verizon Wireless.

We hebben gevonden dat meer dan 70 procent van de apps die we hebben bestudeerd verbonden met ten minste één tracker en 15 procent daarvan is verbonden met vijf of meer trackers. Eén op de vier trackers heeft ten minste één uniek apparaat-ID verzameld, zoals het telefoonnummer of het nummer apparaatspecifiek uniek 15-cijferig IMEI-nummer. Unieke ID's zijn cruciaal voor online volgingsdiensten omdat ze verschillende soorten persoonlijke gegevens van verschillende apps kunnen koppelen aan één persoon of apparaat. De meeste gebruikers, zelfs privacybewuste gebruikers, zijn zich niet bewust van die verborgen praktijken.

Meer dan alleen een mobiel probleem

Het volgen van gebruikers op hun mobiele apparaten is slechts een deel van een groter probleem. Meer dan de helft van de app-trackers die we hebben geïdentificeerd, houdt ook gebruikers bij via websites. Dankzij deze techniek, 'tracking via verschillende apparaten' genoemd, kunnen deze services een veel vollediger profiel van uw online persona opbouwen.

En individuele volgsites zijn niet noodzakelijk onafhankelijk van anderen. Sommigen van hen zijn eigendom van dezelfde rechtspersoon - en andere kunnen worden verzwolgen bij toekomstige fusies. Alphabet, het moederbedrijf van Google, bezit bijvoorbeeld een aantal van de trackingdomeinen die we hebben bestudeerd, waaronder Google Analytics, DoubleClick of AdMob, en via hen verzamelt het gegevens van meer dan 48 procent van de apps die we hebben bestudeerd.

De online identiteiten van gebruikers worden niet beschermd door de wetten van hun eigen land. We ontdekten dat gegevens over de landsgrenzen heen werden verzonden, vaak eindigend in landen met twijfelachtige privacywetten. Meer dan 60 procent van de verbindingen met volgsites wordt gemaakt met servers in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Singapore, China en Zuid-Korea - zes landen die zijn ingezet massa-toezichttechnologieën. Overheidsinstanties in die plaatsen zouden mogelijk toegang kunnen hebben tot deze gegevens, zelfs als de gebruikers zich erin bevinden landen met strengere privacywetgeving zoals Duitsland, Zwitserland of Spanje.

Verbinden van het MAC-adres van een apparaat met een fysiek adres (behorend tot ICSI) met behulp van Wigle.
Verbinden van het MAC-adres van een apparaat met een fysiek adres (behorend tot ICSI) met behulp van Wigle. ICSI, CC BY-SA

Nog verontrustender is dat we trackers hebben waargenomen in apps die zijn gericht op kinderen. Door de apps van 111 voor kinderen in ons lab te testen, hebben we vastgesteld dat 11 van hen een unieke ID heeft gelekt, de Mac adres, van de wifi-router waarmee het was verbonden. Dit is een probleem, omdat het gemakkelijk is zoek online voor fysieke locaties die zijn gekoppeld aan bepaalde MAC-adressen. Het verzamelen van privé-informatie over kinderen, inclusief hun locatie, accounts en andere unieke identificatiegegevens, schendt mogelijk de Federal Trade Commission regels ter bescherming van de privacy van kinderen.

Gewoon een kleine blik

Hoewel onze gegevens veel van de populairste Android-apps bevatten, is het een klein aantal gebruikers en apps en daarom waarschijnlijk een kleine set van alle mogelijke trackers. Onze bevindingen zijn misschien slechts krassen op het oppervlak van wat waarschijnlijk een veel groter probleem zal zijn dat zich uitstrekt over wettelijke jurisdicties, apparaten en platforms.

Het is moeilijk om te weten wat gebruikers hieraan kunnen doen. Het blokkeren van gevoelige informatie door het verlaten van de telefoon kan de app-prestaties of gebruikerservaring nadelig beïnvloeden: een app kan weigeren te functioneren als hij geen advertenties kan laden. Het blokkeren van advertenties is eigenlijk van invloed op app-ontwikkelaars door hen een bron van inkomsten te ontzeggen om hun werk aan apps te ondersteunen, die meestal gratis zijn voor gebruikers.

Als mensen eerder bereid zijn om ontwikkelaars te betalen voor apps, kan dat helpen, maar het is geen complete oplossing. We hebben gemerkt dat betaalde apps meestal contact opnemen met minder volgsites, maar dat ze gebruikers volgen en contact houden met trackingservices van derden.

The ConversationTransparantie, onderwijs en sterke regelgevende kaders zijn de sleutel. Gebruikers moeten weten welke informatie over hen wordt verzameld, door wie en waarvoor het wordt gebruikt. Alleen dan kunnen wij als samenleving beslissen welke privacybeschermingen geschikt zijn en deze op hun plaats zetten. Onze bevindingen, en die van vele andere onderzoekers, kunnen helpen de rollen om te slaan en de volgers zelf te volgen.

Over de Auteurs

Narseo Vallina-Rodriguez, wetenschappelijk assistent-professor, IMDEA Networks Institute, Madrid, Spanje; Research Scientist, Networking and Security, International Computer Science Institute, gevestigd op, University of California, Berkeley en Srikanth Sundaresan, Research Fellow in Computer Science, Princeton University

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees de originele artikel.

Related Books:

{amazonWS: searchindex = Books; keywords = internet privacy; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

volg InnerSelf op

facebook-icontwitter-iconrss-icoon

Ontvang de nieuwste via e-mail

{Emailcloak = off}