Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers hekelen gebrek aan transparantie bij app-trackers

Onderzoekers van het Privacy Lab van de Amerikaanse Yale-universiteit hebben gegevens geanalyseerd van trackers in Android-apps. Ze stellen dat het gebrek aan transparantie privacy- en beveiligingszorgen met zich meebrengt.

Het Privacy Lab meldt bij de presentatie van zijn resultaten: "Gebrek aan transparantie over de verzameling, verzending en verwerking van gegevens via trackers brengt ernstige privacyzorgen met zich mee en kan gevolgen voor de beveiliging van mobiele software hebben die door miljarden mensen wordt gebruikt." De onderzoekers analyseerden gegevens die afkomstig zijn van de Franse organisatie Exodus Privacy. Die maakt gebruik van een webtool om Android-apps te analyseren en te zoeken naar signatures van trackers. Daarnaast brengt het de permissies per app in kaart.

De onderzoekers van Privacy Lab hebben de gegevens bekeken en hebben 25 van de in totaal 44 door Exodus in 300 apps geïdentificeerde trackers nader onderzocht. De resultaten van hun werk zijn te vinden op GitHub. Ze hebben elke tracker voorzien van een beschrijving en andere details, zodat geïnteresseerden een begrip kunnen vormen van de wereld van tracking. De onderzoekers zeggen dat dit het begin is van een project om tracking in kaart te brengen. Ze zeggen tegen The Intercept dat ze nu alleen Android hebben onderzocht, maar dat ze ervan overtuigd zijn dat dezelfde trackers aanwezig zijn op iOS.

De site schrijft dat sommige apps zes of zeven trackers aan boord hebben, waaronder Tinder, OkCupid, WeatherChannel en Superbright LED Flashlight. Een van de Privacy Lab-onderzoekers, Sean O’Brien, vraagt zich af wat de motivatie van de bedrijven is om meerdere trackers te gebruiken. Spotify, dat er vier gebruikt, reageerde alleen in algemene bewoordingen op vragen van The Intercept, net als Uber.

Door Sander van Voorst

Nieuwsredacteur

27-11-2017 • 12:03

44 Linkedin Google+

Reacties (44)

Wijzig sortering
Ik denk dat het tijd wordt dat er eens wetgeving komt waarbij het verplicht wordt om inzicht te geven in de informatie die van een app of website verstuurd wordt.
Een privacy-statement met een linkje naar de data die van jouw is verzameld is eigenlijk wel het minste wat men kan doen. Daar bijzetten aan wie het allemaal is doorverkocht is heel nuttig, maar hoeft nog niet persé.
Dat gaat niet helpen, dan krijg je hetzelfde als bij de cookiemeldingen, gebruikersvoorwaarden en privacy-statements op websites; namelijk een lange lap tekst in technisch en juridisch jargon die in vage bewoording zo veel mogelijk opties open houdt.

Ik denk dat we het delen van privacy-gevoelige informatie zonder zwaarwegende reden gewoon helemaal moeten verbieden. Misschien dat we later op bepaalde punten uitzonderingen kunnen maken of een opt-in regeling accepteren, maar we zullen eerst een flinke stap in de goede richting moeten nemen. Een beetje rommelen in de marge met papieren verplichtingen gaat de wereld niet veranderen, dat levert alleen maar werk op voor juristen.
Wanneer men inzage moet geven in de data zoals die vanaf jouw telefoon is verzonden en de partijen die trackers uitlezen, dan helpt dat wel om inzicht te creëren. Het probleem zelf los je er inderdaad niet mee op, maar het gaat niet stiekem meer.
Ik denk dat het tijd wordt dat er eens wetgeving komt waarbij het verplicht wordt om inzicht te geven in de informatie die van een app of website verstuurd wordt.
Een privacy-statement met een linkje naar de data die van jouw is verzameld is eigenlijk wel het minste wat men kan doen. Daar bijzetten aan wie het allemaal is doorverkocht is heel nuttig, maar hoeft nog niet persé.
De GDPR en vooral de nieuwe ePrivacy verordening die in wording is, gaan exact dit doen: eisen dat jij als gebruiker item-voor-item toestemming kunt geven, kunt weigeren of later kunt wijzigen.

Het moet standaard opt-in; je kunt toegang tot de kerndienst zelf niet als pressiemiddel gebruiken om toestemming te verkrijgen; en er staan straks torenhoge boetes op.
Ik heb in Android onder No Root firewall alle bekende trackers opgenomen onder "Algemene filters". Dan worden ze op telefoonniveau voor alle apps en internetbrowsers geblokkeerd en overstijgen de ipadressen per app.

Was wel een leuk uitzoekklusje, en sindsdien hoef ik af en toe alleen wat aanvullingen te maken. Zou wel mooi zijn als dat makkelijker kon :). Kan het lijstje wel posten als mensen er interesse in hebben.

Edit:
Je kan ook een openbare DNS server gebruiken die reclame en trackers blokkeert, maar ik heb nog geen goede gevonden.
En in Firefox voor Android heb ik Ublock origin draaien.

[Reactie gewijzigd door Black Piet op 27 november 2017 13:50]

Interesse in dat lijstje!
Mijn eerste gedachte was dat dit gewoon de prijs is van "gratis". Wat nog steeds voor het merendeel opgaat denk ik. Wat mij wel verbaasde is dat Spotify ook genoemd wordt in het artikel; daar betaal je immers voor.
Is zeker zo, je betaald met je privacy, maar dan moet dat ten aller tijde wel duidelijk zijn.
Meestal doen ze er geheimzinnig over, of liegen ze er zelfs over (of zeggen ze helemaal niks). Dat is de transparantie waar ze hier over spreken.

Maar het komt ook voor bij heel veel betaalde apps, nog een tikkeltje erger.

[Reactie gewijzigd door Zoop op 27 november 2017 12:30]

De realiteit is helaas dat niemand meer echt 'consent' kan geven voor deze dingen.

Je data wordt via machine learning vergeleken met de data van talloze groepen in de maatschappij, en daar worden conclusies uit getrokken: reputatie scores. Databrokers vergelijken bijvoorbeeld jouw Facebook likes met de Facebook likes van iedereen waarvan ze met meer zekerheid weten dat ze diabetes hebben. Bijvoorbeeld omdat ze een app hiervoor gebruiken, of omdat ze aan hun cookies te zien wel heel vaak websites over het onderwerp bezoeken. Soms vragen ze tienduizenden mensen om een enquete in te vullen (Nederlands bedrijf CenterData's grootste klant is Google). In any case: vanaf dat moment kijken ze in hoeverre er vergelijkbare patronen in jouw data zitten. Liken mensen met huidkanker net iets vaker Snoop Dogg en Boetseren op Facebook? En jij liked die dingen toevallig ook? Dan gaat jouw huidkanker score een puntje omhoog.

Dat soort patronen en correlaties kun je met 'common sense' niet anticiperen. Dat is nou juist waarom iedereen zo op de Big Data gefocust is: correlaties zoeken die mensen niet kunnen voorzien. Maar ja, hoe kun je dan echt weten waar je toestemming voor geeft?

Dat de oordelen vaak niet kloppen, dat doet er voor deze markt niet echt toe. Ze zijn immers geen wetenschappers (al denken veel mensen dat alles dat met data en wiskunde werkt meteen ook wetenschappelijk is..). Het hoeft alleen maar vaak genoeg te kloppen om voor hun klanten geld te besparen. Doordat de lat zo laag ligt hebben Nederlandse databrokers als EDM nu zo'n 600 van deze scores in de aanbieding. In de VS hebben sommige databrokers al de 8000 scores aangetikt. Scores over je IQ, psychologisch profiel, goedgelovigheid, gezondheid, sexualiteit, inkomen, waarschijnlijkheid van een aankomende erfenis, en zelfs voorspellingen over het moment waarop je zal overlijden. Partijen als Spotify delen dan weet live data over je stemming, enzovoorts.

Hoe erg is het dat deze scores vaak niet kloppen? De meeste mensen denken nog dat deze scores worden gebruikt om betere advertenties te laten zien. Maar onderzoek van de FCC uit 2015 laat mooi zien dat het merendeel (50%) van de inkomst uit 'risk management' diensten komt. Met andere woorden: de scores worden verkocht aan werkgevers, verzekeraars, banken, overheden, enzovoorts. En dat heeft weer invloed op jouw kansen op een goeie baan, goedkope hypotheek, enzovoorts.

Databrokers wisselen ook onderling data uit. Facebook koopt bijvoorbeeld van allerlei partijen scores in, en werkt zeer nauw samen met Experian.

En dat zorgt er weer voor dat Rusland via Facebook hun 'personalised propaganda' kon targeten, en zo de kloof tussen links en rechts kon vergroten.

Maar het allergrootste probleem op de lange termijn is wat mij betreft de opkomst van Social Cooling. Mensen gaan in deze situatie namelijk zelf hun gedrag pro-actief aanpassen. Je hebt immers (net als in China) een goeie score nodig voor een goed leven. Het zijn deze chilling effects die nog veel serieuzere gevolgen voor onze maatschappij gaan krijgen.
Spotify kun je ook gewoon gratis doen hoor, krijg je alleen reclame.
Dus je betaald ervoor...
Vraag me wel af wat de onderzoekers dan precies onder een tracker verstaan. Wat er precies getracked wordt, kunnen ze zelf niet nagaan blijkbaar. Spotify houdt in ieder geval bij wat je luistert, want anders kunnen ze ook geen aanbevelingen geven. Mogelijk dat ze dit ook als "tracker" zien?
ok, dat is dan 1. En nu de functie voor de andere 3 :+
Krijg je Android telefoons dan ook gratis want die tracken je ook constant.
Het lijkt er wel op dat je die bij veel fabrikanten tegen sterk gereduceerd tarief krijgt. Sowieso is het maar de vraag in hoeverre android zelf niet alsnog betaald wordt met privacy aangezien Google dankzij android toestellen en services als Maps en Google Play feitelijk ieder detail van je leven weet. Welke videos je kijkt, welke contacten je onderhoud, waar je woont, werkt en hoe je daar naartoe reist, wat je in je vrije tijd doet en wat je informatiebronnen zijn.

Ze kunnen in theorie zefs weten wat je met iedere persoon via bijvoorbeeld whatsapp bespreekt aangezien de backup unencrypted in hun cloud staat.
Mijn eerste gedachte was dat dit gewoon de prijs is van "gratis".
Wat mij verbaast is dat "gratis" tegenwoordig vaak met allerlei haken en ogen komt. Of het heeft in-app purchases, of je wordt helemaal van voor tot achter getracked, of je krijg alle reclame om je oren, of het is een kreupele versie van een volledige betaalde app.

Wat is er gebeurd met gewoon gratis? Freeware?

[Reactie gewijzigd door _Thanatos_ op 28 november 2017 03:39]

Ach, als de bouwer van het OS je zelfs volgt wanneer je locatieservices uit hebt staan, waarom zou je het als app-bouwer dan zou nauw nemen met privacy en tracking?
Dat is nogal een dooddoener: het ene maakt het andere nog niet goed. Ik had dit niet verwacht van met name betaalde apps. Dat je privacy bij gratis apps je tegenprestatie is, dat begrijpt iedereen wel, maar doorgaans wordt betoogd dat je dan maar moet betalen voor je product. En zelfs als je dat doet wordt er sneaky omgegaan met je privacy. Valt me echt enorm tegen.

[Reactie gewijzigd door Grrrrrene op 27 november 2017 12:35]

Dat is nogal een dooddoener: het ene maakt het andere nog niet goed.
Het punt is dat dit gedrag zo wordt gelegitimeerd. Je zou hopen dat de OS-bouwers het goede voorbeeld geven. Als de OS-maker het doet dan zullen velen denken "dan mag ik dat ook".
Dat je privacy bij gratis apps je tegenprestatie is, dat begrijpt iedereen wel, maar doorgaans wordt betoogd dat je dan maar moet betalen voor je product.
Dan moet er wel een alternatief zijn. Waar koop ik een OS voor mijn telefoon dat mijn rechten respecteert? Zeg niet Apple want dat OS kan ik niet los kopen. Iedereen krijgt dat bij z'n telefoon en dus is het de facto ook gratis.

De grote techbedrijven hebben een hoeveelheid macht en invloed die vroeger voorbehouden was aan de overheid. Van overheden verwachten we dat ze het goede voorbeeld geven, alle regels volgen en hun best doen om zich netjes te gedragen. De praktijk is soms anders maar over het algemeen is dat de verwachting.
Onderbewust verwachten we misschien hetzelfde van deze bedrijven. Die bedrijven hebben echter weinig moraliteit en worden primair gestuurd door financiele beslissingen en niet door ethische overwegingen.
Ik kijk altijd na installatie van een app of je tracking / analytics kunt uitschakelen. Bij sommige apps kan dat ook keurig maar bij het grootste deel van apps kan dit gewoon niet en moet je zelf maatregelen nemen en dit blokkeren.

Begin dit jaar ben ik tijdelijk overgestapt naar Firebase omdat de nieuwe Piwik iOS SDK in Swift nog niet klaar was. Firebase gooi ik er spoedig uit want ik kwam er steeds meer achter hoeveel data (naast standaard analytics) verzameld wordt en dat is echt ongekend veel.
Ik kijk altijd na installatie van een app of je tracking / analytics kunt uitschakelen. Bij sommige apps kan dat ook keurig maar bij het grootste deel van apps kan dit gewoon niet en moet je zelf maatregelen nemen en dit blokkeren.
Ik kijk hier ook altijd naar, maar dan nog weet je niet zeker of het wel echt uitgeschakeld is. Wie weet is het een loze knop voor een nep gevoel van veiligheid 8)7
Precies dit. Zijn er oplossing zoals Privacy Badger/Ghostery beschikbaar voor Android apps? Een APK die ergens te downloaden is bijvoorbeeld?

Geen Android (of zelfs smartphone) gebruiken is de ultieme oplossing, maar niet veel mensen gaan zo ver. Heb het in 2014 een jaar gedaan, en toch mis ik het snel info kunnen opzoeken waar je ook bent etc. Het is vaak de afweging: functionaliteit of privacy, waar ga ik voor?
Blokada: http://blokada.org/ en DNS66: https://jak-linux.org/projects/dns66 zijn bijden Open Source opties, ook te vinden op fdroid, en werken zonder root (via android's vpn functionaliteit)

AdGuard is ook een optie https://adguard.com/en/adguard-android/overview.html, die gaat verder dan enkel DNS-based ad-blocking, en kan ook webpaginas cosmetisch filteren (zodat je geen lege plekken in je website hebt waar de ad vroeger zat) maar is closed source en betalend voor non-browser apps.

met root kan je adaway installeren, wat gewoon je hosts-file aanpast, en dus ook niet constant moet draaien, is gewoon install hosts-file en go, hierna kan je de app deleten en ads blijven geblokkeerd.

ten slotte kan je bij je wifi netwerk zijn settings gaan => advanced => van DHCP naar static zetten => ad blocking dns invullen, vb. https://adguard.com/en/adguard-dns/overview.html, maar dit werkt enkel op wifi en moet je op ieder netwerk appart instellen.

kortom meer als genoeg manieren, elk met zijn eigen pro's en cons.
persoonlijk gebruik ik Blokada, en heb ik Signal gewhitelist, want voice calls van sommige voip apps werken niet zonder whitelisting (zoals Signal en Duo, Whatsapp calling werkt wel zonder whitelisten)

[Reactie gewijzigd door jeroen7s op 28 november 2017 09:26]

Ik kijk altijd na installatie van een app of je tracking / analytics kunt uitschakelen. Bij sommige apps kan dat ook keurig maar bij het grootste deel van apps kan dit gewoon niet en moet je zelf maatregelen nemen en dit blokkeren.
Jij noemt het keurig, ik vind het onbeschoft dat je er zelf per se op moet letten. Zoiets dient opt-in te zijn, niet opt-out. Maarja, dan werkt het waarschijnlijk van geen hol meer.
Dat is dan ook het probleem van de vroegere Android permissie manager. 1 permissie weigeren betekent gewoon die app niet kunnen gebruiken. Het is goed dat dit aangepast wordt/is met nieuwere versies.

Het mooie van iOS is dan weer dat een applicatie dit eenmalig kan vragen en that’s it. Als je het weigert dan is het klaar voor die app en kan je bepaalde functies niet gebruiken.

Daarmee wordt er van developers veel meer verwacht dat ze duidelijk zijn in waarom ze iets willen gebruiken. Als eenmaal aangegeven wordt dat mensen dit niet willen dan kost het 5 stappen van het instellingen scherm om het weer recht te zetten. Pre-permission dialogs helpt bijvoorbeeld enorm.

https://www.google.nl/amp...-for-ios-permissions/amp/
Je kunt de bestaande piwik ios SDK toch prima gebruiken, met een bridging header?
Grr. Vooral, zoals merethan hierboven opmerkt, als ik betaal voor een app, dan is het echt heel onbeschoft.

Ik kom steeds meer tot de conclusie, dat je alleen aan al dit soort rotzooi ontsnapt als je je eigen maatregelen neemt. In mijn geval, alle verkeer via een VPN die bij mij thuis tijd en die advertenties en alle deze rotzooi er via een proxy uitfiltert (AB-solution, draait op mijn R7000 router met XWRT, dwz asuswrt merlin).

[Reactie gewijzigd door Ro-Maniak2 op 27 november 2017 12:17]

En als het even kan, de browser (liefst geen Chrome) met tracker preventie gebruiken.
Want daarmee is tracking weliswaar niet onmogelijk, maar wel veel moelijker dan met al die 'custom browsers' (want dat zijn het eigenlijk, niet meer) zoals de Telegaaf app, nu.nl app, enz. enz.
"Custom browsers" zijn gewoon de ingebouwde Android/iOS webview binnen een app. Heeft geen benul van voorgaande/bestaande sessies of cookies, maar biedt idd ook geen support voor plugins etc.
Betalen is beslist geen garantie voor het uitschakelen van de trackers. Als men wat extra kan verdienen door de trackers aan te laten staan zal men dat niet nalaten.
Vermoedelijk zijn veel trackers verbonden aan de in-app reclame's. Als de reclame in de betaalde versie uitgeschakeld wordt, zullen daarmee vermoedelijk ook de trackers die daar direct mee te maken hebben uitgeschakeld worden. Ik geef je echter geen enkele garantie.
Betaal je voor een app?

Ik heb zelden een app gezien die oaar honders euro per jaar kost.... want dan mag je verwachten dat je een licentie hebt waarbij gebruiksrecht voor ontwikkelaar afdekt is en hij daarbij geen enkele andere inkomsten bron nodig heeft.

Echter.... bij een antivirus pakket AVG/AVAST is dat bij de gratis versie het business model maar zodra markt conforme abonnementen afsluit blijven door gaan met verzamelen van gegevens van klant.
https://f-droid.org/en/

Laatst nog een calendar app geïnstalleerd die niet om mijn moeders maiden name en mijn favoriete kleur vroeg.
Maar jij hebt source code bekeken en sniffer gebruikt om te concluderen dat er niemand je als onderdeel van businessmodel laat acteren.
AVG en Avast gaan ook gewoon door nadat je voor een 3 tientjes een jaar abbo neemt, me dunkt.
Ik heb het over bijv. Spotify, ja.
Wat ik niet snap is waarom APPS altijd toegang tot alles moeten hebben, terwijl dat voor de helft niet nodig is? Soms kun je ze uitschakelen, maar standaard hebben enorm veel apps veel toegang nodig.
Helaas zijn er neit altijd alternatieven te vidnden.
Thanks voor de suggestie, meteen besteld!

Ben altijd wel geweest van heb niks te verbergen, maar ik begin het nu wel extreem te vinden met alle informatie die verzameld wordt over mij.
Graag gedaan. Het is best wel schokkend eigenlijk wat er achter de schermen met je data wordt gedaan. De meeste mensen boeit het niet omdat het niet zichtbaar is.
Als er een camera in de woonkamer geplaatst zou worden? Dat zou niemand accepteren.
Ik moet altijd aan de aflevering denken van South Park

Degene met de Toilet Safety Administration als ik dit soort zaken bespreek :+
Ik heb deze ook besteld. Ben erg benieuwd. Stond er precies zo in als jij maar vind het tegenwoordig toch best ver gaan
Over welke tracking hebben ze het? Simple onclick functies achter knopjes of bedoelen ze dat een app een waarde opslaat welke ter herleiden is naar een specifiek persoon?
Wat is het verschil? Alle tracking in een app werkt toch samen om een zo compleet mogelijk beeld van jouw gebruik te vormen? Die functie achter dat knopje stuurt die herleidbare ID gewoon mee in z'n requests.
Buiten het feit om, of ik het er mee eens ben. Ik denk dat spotify heel veel van die dat gebruikt om playlisten, chartlijsten en aanbevelingen mee op te bouwen. Dat zou niet eens zo'n ramp zijn, als ze er maar transparant over zouden zijn en de data goed zouden anonimiseren.

[Reactie gewijzigd door Aeternum op 27 november 2017 15:53]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True