Afbeelding gebaseerd op Traces van anyjazz65 (licentie: CC BY 2.0)

Afbeelding gebaseerd op Traces van anyjazz65 (licentie: CC BY 2.0)

Lindsy Szilvasi

30 maart 2012 14:22
Door Lindsy Szilvasi

Algemeen

Apple schaft toegang tot UDID af: goed voor jouw privacy?

Vanwege recente druk op haar privacybeleid gaat Apple met de komst van iOS 5 een aantal functies aanpassen. Onder andere de toegang voor app-ontwikkelaars en adverteerders tot de Unique Device Identifier (UDID) wordt afgeschaft. Een UDID is een soort uniek ‘hardware’ adres van je iPhone of iPad. Met een UDID kunnen app-ontwikkelaars en adverteerders je identificeren, je app-gebruik volgen en gericht advertenties naar je sturen. Er is al regelmatig kritiek geweest op de gevolgen van het UDID voor de privacy van gebruikers. Het nieuwe beleid van Apple lijkt dus een positieve ontwikkeling voor jouw privacy. Maar zal dat in de praktijk ook zo uitpakken?

Wat is een UDID?

Een UDID is een alfanumerieke reeks die uniek is voor elke iPhone of iPad. Je kan je eigen UDID vinden door je iPhone aan te sluiten op je computer, iTunes te openen en bij ‘devices’ te klikken op ‘serial number’. Jouw UDID wordt dan weergegeven. In principe ben je niet direct te identificeren aan de hand van je UDID: het is een string nummers die uniek is voor jouw iPhone. Er zijn echter veel apps die naast je UDID ook andere gegevens opslaan, zoals je naam, adres, gebruikersnaam en andere persoonlijke informatie. In dat geval ben je als gebruiker wel te identificeren. En ook zonder identificerende gegevens kun je op basis van je UDID worden geïndividualiseerd en onderscheiden van andere iPhone gebruikers als unieke gebruiker.

Via je UDID kunnen app-ontwikkelaars volgen welk gebruik je maakt van je iPhone. Deze informatie is ook interessant voor adverteerders en advertentienetwerken. Zij kunnen deze informatie gebruiken om je online gedrag en gebruik van apps te monitoren en op basis van die informatie een profiel over je samen te stellen. Door middel van je UDID kunnen adverteerders je namelijk van app naar app volgen. Zo kunnen adverteerders informatie verzamelen over jouw app-gebruik, zoals welke apps je het meeste gebruikt, om vervolgens gerichte advertenties te sturen. Een UDID werkt daarbij als een soort “supercookie.” Net als met cookies wordt jouw online gedrag getraceerd. Maar in tegenstelling tot cookies op je computer kan een UDID niet worden verwijderd.

Privacy risico’s van UDID

Het gebruik van UDID’s door app-ontwikkelaars en adverteerders brengt volgens onderzoek (pdf) verschillende privacy-risico’s met zich mee. En die risico’s zijn in de ‘mobiele wereld’ in veel opzichten groter dan op je vaste pc. Je hebt je mobiele telefoon altijd bij je en hij staat altijd aan. Je UDID draag je dus overal mee naartoe. Bovendien zit het in het meest persoonlijke apparaat dat je bezit: op je iPhone of iPad heb je veel persoonlijke informatie opgeslagen van jezelf, maar ook van je vrienden, familie en kennissen. Denk bijvoorbeeld aan je adresboek.

Recent nog raakten apps Path en Foursquare in opspraak omdat ze ongevraagd en onopgemerkt hele adresboeken, inclusief telefoonnummers en e-mailadressen, naar hun eigen servers uploadden. Daarnaast zou social gaming netwerk Zynga UDID’s gebruiken om aan informatie te komen van hun gebruikers, zoals telefoonnummers en e-mailadressen.

Door de groeiende aandacht voor privacyschendingen en het verscherpen van wetgeving rond privacy, wordt het bewustzijn van het belang van het beschermen van persoonlijke gegevens op mobiele telefoons steeds groter. Naar aanleiding van Paths privacyschendingen is het Congres van de Verenigde Staten een onderzoek gestart naar privacy in apps.

Ook Apple is er meerdere keren van beschuldigd dat het de privacy van haar gebruikers heeft geschonden. Zo is Apple aangeklaagd voor het doorspelen van persoonlijke informatie van gebruikers naar adverteerders. Door extra controle op het gebied van privacy is Apple, volgens Techcrunch, afgelopen week vervroegd begonnen met het weigeren van toegang tot UDID.

Wat gaat dit voor jou als gebruiker betekenen?

App-ontwikkelaars maken nu nog massaal gebruik van het UDID om app-gebruikers te identificeren en informatie over hun gedrag te verkrijgen. Nu Apple dit niet meer toestaat zullen ontwikkelaars dus met een alternatief moeten komen.

In een document van Apple Developer staat hierover het volgende:

“Deprecated in iOS 5.0. uniqueIdentifier,

An alphanumeric string unique to each device based on various hardware details. (read-only) (Deprecated in iOS 5.0. Instead, create a unique identifier specific to your app.).”

Met andere woorden: het UDID wordt vervangen in iOS 5 en app-ontwikkelaars wordt geadviseerd een eigen identificatienummer, dat uniek is voor hun app, te creëren. Als elke app een eigen identificatienummer krijgt zou dat een verbetering voor jouw privacy betekenen. Je iPhone of iPad wordt niet langer herkend door de app. En wanneer je van app naar app gaat, laat je geen sporen meer achter die voor advertentienetwerken interessant kunnen zijn. Daarnaast wordt het voor app-ontwikkelaars onmogelijk om te achterhalen of een gebruiker gestopt is met het gebruiken van hun app, of dat hij de app opnieuw heeft geïnstalleerd.

Hoewel Apple hiermee een goede stap zet richting een betere bescherming van persoonlijke gegevens, is het nog afwachten wat app-ontwikkelaars voor alternatieve methodes gaan bedenken om hun gebruikers te identificeren en traceren. De vraag is dus of Apple’s verandering enig effect zal hebben op het probleem van apps die zonder jouw besef informatie verzamelen. De verantwoordelijkheid hiervoor zou ook bij de ontwikkelaars zelf moeten liggen en niet alleen bij Apple. Ontwikkelaars kunnen zich nog veel beter bewust zijn van implicaties van hun apps voor de privacy van hun gebruikers en de wetgeving en regels op dit gebied. Bovendien kunnen ze jou als gebruiker veel beter informeren.

Wij vinden: “jouw gegevens, jouw zaak.” Jouw gegevens zijn voor app-ontwikkelaars en adverteerders veel waard, maar jij als gebruiker wil niet gezien worden als een product. Dat betekent ook dat je je eigen verantwoordelijkheid moet nemen en voor elke app die je installeert na moet gaan wat deze app doet met je gegevens. Want, zoals vaak in comments en op blogs wordt geciteerd: “when something online is free, you’re not the consumer, you’re the product.”


 

 

 

2 reacties

laat een bericht achter

Wouter zegt:

Voor nu kun je de mod “Protect My Privacy” installeren als je een jailbreak hebt uitgevoerd op je iOS apparaat. Hiermee kan je willekeurige info door laten geven ipv je adresboek danwel je eigen UDID.

Emre zegt:

Interessant stuk!

Wat dit voor gebruikers gaat betekenen in de praktijk is het volgende: De UDID was een gemakkelijke manier om iOS gebruikers te volgen. Nu dit is verdwenen zullen andere manieren gebruikt worden door
analytics en advertentie bedrijven om gebruikers te blijven volgen. Zij zullen massal overstappen op andere identifiers (denk aan MAC-adres, eigen implementaties van UDID’s of enige andere bruikbare identifier) om gebruikers te blijven volgen, en zullen in sommige gevallen reeds opgeslagen UDID’s linken aan de nieuwe. Uit eigen onderzoek kan ik al bevestigen dat sommige apps, analytics bedrijven en advertentie netwerken al maanden bezig zijn om inderdaad een alternatieve vorm te implementeren sinds door Apple bekend werd gemaakt dat de UDID in zijn toenmalige vorm op enig moment in de toekomst niet meer beschikbaar zou worden gesteld.

Kortom; een mooie ontwikkeling, een eerste stap, maar het probleem zelf – het niet legitiem verwerken van persoonlijke gegevens door uitgevers van apps – wordt niet opgelost door de afschaffing van de UDID. Er wordt slechts een makkelijke mogelijkheid om gebruikers te volgen weggenomen. Het is te hopen dat Apple, maar ook bijvoorbeeld Google, sterkere stappen zal zetten om gebruikers te beschermen. Er zullen zich in de komende maanden – zeker ook gezien de recente ontwikkelingen van bijvoorbeeld de overeenkomst die de advocaat-generaal van California gesloten heeft met de grootste aanbieders van applicatie winkels – ongetwijfeld nog interessante ontwikkelingen voor doen. To be continued!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

De volgende HTML-tags en -attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

WORD DONATEUR

Zoek in blog

MEEST GELEZEN

  1. Drie redenen waarom overname WhatsApp slecht nieuws is
    20 februari 2014 / 17:13
  2. Hoe kies ik de beste chat-app?
    28 februari 2014 / 17:12
  3. Drie vragen over Big Data, privacy en de ING
    10 maart 2014 / 13:40
  4. Maandag D-Day voor netneutraliteit
    21 februari 2014 / 17:02
  5. Thanks for all the fish
    21 februari 2014 / 13:37