Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook haalt Onavo-vpn-app uit App Store op last van Apple

Apple heeft Facebook verzocht om zijn vpn-app Onavo Protect te verwijderen uit de iTunes App Store. Het bedrijf heeft daar gehoor aan gegeven. De app geeft Facebook onder andere inzicht in welke apps gebruikers op hun telefoon hebben. Dat is volgens Apple tegen de regels.

Onavo Protect - VPN Security is op het moment van schrijven niet meer te vinden in de downloadwinkel voor iOS-apparaten. Via de cache van Google is de app nog te zien in de iTunes App Store. Volgens The Wall Street Journal heeft Apple eerder deze maand overleg gevoerd met Facebook en aangegeven dat de app in strijd is met de voorwaarden van zijn downloadwinkel. Apple zou de app niet zelf verwijderd hebben, maar tegen Facebook gezegd hebben om dat te doen.

In een reactie tegenover The Verge zegt Facebook de regels van Apple die gelden voor ontwikkelaars te volgen. Daarmee lijkt het bedrijf te bevestigen dat het zelf de app heeft weggehaald. Wel stelt Facebook altijd duidelijk te zijn geweest tegenover gebruikers welke informatie Onavo verzamelt en hoe deze wordt gebruikt.

De gratis Onavo-vpn-app is al langer in opspraak, omdat Facebook die naar verluidt gebruikt om apps op smartphones van gebruikers in kaart te brengen. Daardoor zou het sociale netwerk vorig jaar bijvoorbeeld inzicht hebben gekregen in het dalende aantal Snapchat-gebruikers.

Hoewel de app op last van Apple is verwijderd uit de App Store, is hij nog wel beschikbaar voor Android in de Play Store van Google. In het privacybeleid is onder andere opgenomen dat de app informatie verzamelt, bijvoorbeeld over het apparaat zelf. Gegevens kunnen vervolgens met derden worden gedeeld.

In maart dit jaar bracht Facebook-bedrijf Onavo een nieuwe app uit die informatie verzamelt over geïnstalleerde apps: Bolt Lock. Die app werd nadat hij in de media kwam snel verwijderd en is nooit teruggekeerd, volgens Facebook ging het om een test.

Door Julian Huijbregts

Nieuwsredacteur

23-08-2018 • 08:20

50 Linkedin Google+

Reacties (50)

Wijzig sortering
De app geeft Facebook inzicht in welke apps gebruikers op hun telefoon hebben.
Het is nog veel erger:
De app volgt alles wat je via het VPN verstuurt:

Uit de gebruiksvoorwaarden:
To provide this layer of protection, Onavo uses a VPN to establish a secure connection to direct all of your network communications through Onavo’s servers. As part of this process, Onavo collects your mobile data traffic. This helps us improve and operate the Onavo service by analyzing your use of websites, apps and data. Because we’re part of Facebook, we also use this info to improve Facebook products and services, gain insights into the products and services people value, and build better experiences.
WTF?!

Linkje: https://www.macrumors.com...onavo-from-ios-app-store/
(De WSJ bron zit achter een paywall).
Volgens The Wall Street Journal heeft Apple eerder deze maand overleg gevoerd met Facebook en aangegeven dat de app in strijd is met de voorwaarden van zijn downloadwinkel.
Niet om het een of ander, gewoon een serieuze vraag, maar als het tegen de voorwaarden is, waarom is dit dan - technisch gezien - wel mogelijk? Dit lijkt mij redelijk makkelijk vanuit iOS/Android* af te dwingen dat dit niet zou moeten kunnen.

Ik ben benieuwd wanneer het doek definitief valt voor Facebook. Het ene na het andere (privacy gerelateerde) bericht komt uit. Ergens ben ik gewoonweg benieuwd hoe groot/diep de beerput intussen is geworden, de tracking uitgezonderd, daar weten we immers al jaren van dat het er is.

* Al lijkt het mij in het geval van Android wat lastiger, door het open karakter van het besturingssysteem.

[Reactie gewijzigd door CH4OS op 23 augustus 2018 08:27]

Dit is juist een van de weinige dingen waar je niets tegen kunt doen. Apple staat het gebruik van VPN apps door derden toe (dat heeft ook een tijd geduurd, maar ze konden niet anders) en die onderscheppen al je netwerkverkeer. Wat die VPN vervolgens met die info doet ligt aan de VPN server zelf. De app doet dus niet de tracking, maar de verbinding die door de app wordt opgezet. Hier heeft het OS verder geen invloed op.

Dit is wel typisch zo'n reden waarom Apple lang tegen dit soort apps in hun store is geweest, je kunt de privacy van je gebruikers niet meer garanderen, maar uiteindelijk kun je ook via het OS zelf een IPsec of L2TP verbinding opzetten, dus dan is een app alleen nog maar een alternatief.

[Reactie gewijzigd door --MeAngry-- op 23 augustus 2018 08:41]

Mijn vraag is eigenlijk: waarom zou je zo'n app sowieso vrijwillig willen installeren? Het kan handig zijn dat een app weet of bepaalde apps ook geinstalleerd zijn, zodat hij gebruik kan maken van bepaalde functionaliteiten van die app. Maar dit is een app die je netwerkverkeer monitoort:
Onavo Protect helps keep you and your data safe when you browse and share information on the web. This
De USP van Onavo is dat je van alle geïnstalleerde Apps kan zien wat het dataverbruik is.

Binnen iOS zelf kan dat enkel van mobiel data verkeerder (dus geen WiFi) en het is ook zo beperkt dat je niet kan zien in welke periode de data is verbruikt, dat kan met Onavo wel.
Misschien zou Apple dan zoiets zelf inzichtelijk moeten maken , het is toch een beetje overdreven dat je je verkeer helemaal via een VPN moet laten lopen om alleen je app datagebruik in kaart te kunnen brengen.
Misschien zou Apple dan zoiets zelf inzichtelijk moeten maken
De vragen zijn dan: Waarom? Voor wie?
Lijkt me goed dat dat niet 'algemeen' inzichtelijk is.
binnen het OS natuurlijk. Dus alleen voor de gebruiker. (net zoals nu al geld voor de mobiele data consumptie)

Je kunt je natuurlijk afvragen in hoeverre dat nuttig is. Het intresseert me - zeker op wifi - eigelijk totaal niet dat de facebook app een enorme hoeveelheid data vreet. (en mobiel mag ie dat niet).

Er komen wel wat metrics/settings binnen iOS 12 die dit beter inzichtelijk maken potentieel, als onderdeel van screentime. Maar ik weet niet of netwerk-data daar onderdeel van is.
Er zijn genoeg landen waar men als thuis internet een mobiele verbinding deelt over wifi. (Vooral in Azië) Dan is het wel fijn om te weten of bepaalde apps geen gekke dingen doen over wifi.

Ze heb ik al een paar apps verwijderd die over wifi heel veel data gebruikte terwijl ik die apps slechts enkele minuten per week gebruikte.
Precies. Een vriend van me in Oman heeft ook alleen een mobiele verbinding. Je kunt daar thuis niet eens een vaste verbinding krijgen, de infrastructuur voor kabel of telefoon is er gewoon niet.

Dus hij heeft een soort GSM modem dat ook ethernet en wifi levert bij hem thuis, met een maandelijkse data cap. Dus ook als hij wifi gebruikt, of iets download of update thuis, gaat dat van zijn maandelijkse limiet. Hij heeft het duurste abonnement ~200eruo/maand, en dan nog kan hij soms een game update niet downloaden.
Ik denk dat "informatie over apparaat verzamelen" naar de mening van Facebook dekkend genoeg was. Ik heb een voorgevoel dat gebruikers niet wisten dat de app kijkt welke andere apps geïnstalleerd zijn.
Om even exact te zijn, het gaat er niet om dat "Onavo" op het toestel kijkt welke andere apps geinstalleerd zijn. Dit wordt waarschijnlijk aan de VPN server kant gedaan op basis van welke traffic(data) apps genereren wanneer de VPN optie binnen de Onavo app gebruikt wordt.
Je quote is niet relevant. Dat geeft enkel aan dat Onavo je data veilig houdt terwijl je zelf dingen deelt, doelend op delen via Instagram, Twitter e.d.
Ja, dus geen idee waarom hij zou moeten bekijken welke apps er op een apparaat staan.
Ik kan me maar zo voorstellen dat er (genoeg) mensen zijn die “iets” met vpn willen doen en gaan rondkijken naar een app. Als ze dan het woord “gratis” zien, dan gaan de oogkleppen op.
Voorwaarden worden niet gelezen. Als het vervolgens werkt, kunnen ze tegen iedereen zeggen dat ze een vpn gebruiken voor de veiligheid.
Gratis is wat dat betreft een toverwoord

(Off-topic, kijk maar naar de nieuwe app van de mcdonalds. Hierin kan je kortingscoupons krijgen, maar je moet wel een account aanmaken, je locatiegegevens delen en nog meer. Gratis .... korting. —> oogkleppen op en gaan)
Mijn vraag is eigenlijk: waarom zou je zo'n app sowieso vrijwillig willen installeren? Het kan handig zijn dat een app weet of bepaalde apps ook geinstalleerd zijn, zodat hij gebruik kan maken van bepaalde functionaliteiten van die app. Maar dit is een app die je netwerkverkeer monitoort.
Ik denk dat de app vooral bedoeld is als een 'VPN' app, zodat mensen toch op een of andere manier op Facebook kunnen komen en contact kunnen leggen met de buitenwereld. Ik heb geen idee in welke landen de app te gebruiken is/was, maar ik neem aan dat het in de landen gebruikt wordt waar de internet gecencueerd en gecontroleerd wordt door de desbetreffende regering.

Maar ik snap niet waarom de app dan scant op welke apps er nog meer geïnstalleerd zijn. Ja, ik weet dat data mining veel geld in het laatje brengt, maar welke informatie kan je er dan van uit halen?

Tegenwoordig zijn sommige (gratis) VPN services ook schimmiger geworden, OpenVPN is wel een goede service, maar de verbinding is traag en latency is hoog. Hide.me is een aanrader als je bijv. tijd tot tijd gebruik maakt van een open hotspot (MCD, supermarkt, etc.). Wil je echt zekerheid dan kan je altijd kiezen voor een betaalde VPN service.
Maar waarom betalen als een echte Tweaker zijn eigen VPN server kan maken en het verkeer via zijn thuisadres kan laten gaan? Tenzij je bepaalde dingen doet die 'illegaal' zijn :P

@NSG
Kan je het misschien beter uitleggen? Bedoel je dat Onavo de hoeveelheid MB/GB kan inzien per app? En wat is daar de nut van, dat Facebook dat weet?
Onavo doet twee dingen:
1. Opgevraagde data, waar mogelijk comprimeren (goed te doen met afbeeldingen). Gevolg, gebruiker doet langer met de internetbundel.
2. Toont per App, per x periode, hoeveel data (MB/GB) er is verstookt. Het nut is dat het de gebruiker doet realiseren waar het dataverbruik vandaan komt.

Beide totaal niet interessant voor iemand met een grote/onbeperkte internetbundel of iemand die op veel locaties beschikt over een (onbeperkte) wifi verbinding. Maar voor iemand die het met 1 GB of zelf minder per maand moet doen en/of thuis geen (onbeperkt) wifi heeft, is het natuurlijk wel interessant. En in tegenstelling tot een "normale" VPN, die een gebruiker niet altijd geactiveerd zal hebben, zal een gebruiker dat bij Onavo wel sneller hebben, omdat het anders geen nuttige/volledige inzage kan tonen.

Dus wat heeft Facebook hieraan? Dat het 24/7 inzage heeft in het het internetverkeer van Onavo gebruikers.

[Reactie gewijzigd door NSG op 23 augustus 2018 12:32]

Onavo was ooit begonnen als een dienst die compressie van je dataverkeer als primaire functionaliteit had. Dus voor kleine bandbreedtes en kleine databundels. Dat deden ze door het verkeer via een VPN te sturen.

Later bleek voor zowel de nieuwe eigenaar (Facebook) als de gebruikers, dat de VPN zelf de primaire functie werd. Daar hebben ze vervolgens de informatie-vergaring als verdienmodel aan gehangen.
Ik dacht precies hetzelfde. Je kunt toch redelijk eenvoudig testen welke API calls er in een app zitten en aan de hand daarvan al weten dat deze app iets doet wat eigenlijk niet helemaal koosjer is en dus in strijd met de voorwaarden.
een API call kan prima legitiem zijn. Het is wat je met de data doet waar de app toegang toe heeft, waar de schoen wringt. Apple's voorwaarden stellen dat een VPN app geen informatie mag verzamelen over het netwerkverkeer dat door die app gaat, omdat Apple best wel een ding voor privacy heeft.

Er zijn talloze API calls met volkomen legitieme functies, maar waarvan je de output data niet mag misbruiken omdat je dan iemands recht op privacy overtreed.
Ik denk dat het kunnen inzien van geïnstalleerde apps soms een gewenste functionaliteit kan zijn, bijvoorbeeld voor apps die bijhouden hoeveel tijd je met je telefoon spendeert, cleaner apps etc.
Het probleem lijkt mij meer het doorsturen van die informatie naar een server van Facebook.
An sich is er niets mis mee dat een app opvraagt welke apps er geinstalleerd zijn om dit, eventueel verreikt met andere data, aan de gebruiker zelf te tonen. Perferct legitiem gebruik van zo'n api.

Data uploaden is voor de meeste apps ook een volstrekt legitieme handeling, anders zou vrijwel geen enkele app uberhaupt werken.

De combinatie van deze twee, dat is nu precies wat niet mag. De vraag is, hoe ga je zoiets controleren zonder iedere app te decompileren?
Afgezien van dat feit... hoe is die app dan uberhaupt door de controle van Apple gekomen? Of heeft Apple de voorwaarden aangepast?
Afgezien van dat feit... hoe is die app dan uberhaupt door de controle van Apple gekomen? Of heeft Apple de voorwaarden aangepast?
Er is binnen een app legitiem gebruik mogelijk van dergelijke API calls/functies in het framework. Echter, als je vervolgens wat met die data gaat doen die niet legitiem is (zoals privacy schending), dan wordt het een ander verhaal. Kortom, je kan 2 legitieme API calls combineren qua output, en vervolgens met die output iets illegaals doen. (en doorsturen naar je platform waarvan je op z'n zachtst gezegd privacy iets vind waar je geld aan moeten kunnen verdienen)
maar als het tegen de voorwaarden is, waarom is dit dan - technisch gezien - wel mogelijk?
Omdat het om een VPN app gaat die al je internet verkeer onderschept. Dat is natuurijk de belangrijkste functie van een VPN app, echter omdat Facebook expliciet heeft geschreven dat ze hiermee ook in kaart brengen welke apps je gebruikt (per het artikel) zal Apple hier niet blij mee zijn geweest. Waarom hij dan überhaupt ooit is toegestaan in de app store is nog een goede vraag, maar Apple is niet bepaald consistent met dat soort dingen.

Als ik het mij allemaal goed herinner (zo niet hoor ik het graag) zit de historie hier achter zo:
iOS (en android) apps hebben URL schema's beschikbaar om de app aan te kunnen roepen vanuit een andere app, of web browser. Dit is bijvoorbeeld een URL als 'twitter://action/tweet/<tweet_id>' die je vanuit een webbrowser direct naar de native app zou kunnen sturen en een specifieke tweet laten zien. Of 'ns://storingen' om de storingen pagina in de NS app te openen, je snapt m wel.
Hier gingen apps misbruik van maken door alle bekende URL's aan te roepen om zo te controleren welke apps gebruikers op hun telefoon hebben. Apple vond dit niet tof want privacy.
Hierna heeft Apple toegevoegd aan de regels dat dit niet mag, de naam van de techniek veranderd en veranderd hoe dit werkt. Apps moeten nu van te voren registreren met welke schema's ze mee willen verbinden en dat is ingebakken in de binary wat alleen met een app update te veranderen is.
Zo stuurt google ook mailtjes rond:
“je nieuwe Apple iPhone beschikt niet over de nieuwste Google-apps”
Dat stoort mij ook al. Via de Gmail app wordt ook de Chrome app installatie gepusht (na het aanklikken van een willekeurige link in een email). Heb je dat eenmaal gedaan, dan krijg je direct daar achteraan dat je niet alle Google Apps hebt (maps, zoeken etc..).

Wat mij al helemaal stoort, is dat het pushen van Chrome app elke week opnieuw gebeurt, ondanks dat je het vinkje uitzet dat je die wilt gebruiken en je liever gewoon Safari als hoofdbrowser hebt.

[Reactie gewijzigd door Get!em op 23 augustus 2018 10:20]

hmm, dat doet ie bij mij totaal niet. Ik heb wel gmail, maar geen chrome.
Dat is een heel ander geval; wanneer een applicatie (bv de mail cliënt van OSX) verbinding maakt met een dienst van Google (bv de mailserver) dan Google “zien” welke cliënt jij gebruikt en op basis daarvan de mail sturen.

Google doet dan aan “versie beheer” ; dat is heel wat anders dan rond snuffelen op je telefoon om te kijken wat er nog meer draait.

Dat dit “beheer” voor jou discutabel is (immers ze geven aan dat je Google cliënt moet gebruiken i.p.v. een ander mail programma) is imho gewoon marketing.

Dat ik beheer tussen aanhalingstekens zet geeft hopelijk al aan dat ik dit geen beheer vind maar marketing.
Hoe ze het doen maakt me eerlijk gezegd geen moer uit. Ze moeten me gewoon niet lastig vallen met die onzin. Ik moet helemaal geen losse app om filmpjes te kijken.
De facebook app heb ik op een gegeven moment ook maar weggedonderd omdat het 600MB (!!!!!!!!) in beslag nam en maar bleef mekkeren dat ik die messenger app moest installeren.
Facebook is toch transperant over zijn apps? Je word letterlijk erop gewezen dat de app je telefoon door spit. Dan ligt de verantwoordelijkheid toch bij de eindgebruiker lijkt mij
Klopt helemaal wat je zegt.
Echter is het wel in strijd met de voorwaarden van Apple. En daarom had de app dus eigenlijk nooit in de App Store moeten komen. Juist omdat ze zo open waren bij het introduceren van de app, verbaasd het me dat hij uberhaupt werd toegelaten.
Maar was Apple niet juist diegene die alle apps checkt voordat ze de store ingaan of is het net als bij de playstore van Google dat iedereen er iets in kan zetten?
Precies mijn punt. De app had nooit toegelaten moeten worden. (zover ik weet doet Google ook wel iets van checks toch? Anders zou heel de Play Store in 10 minuten vol staan met porno apps :) )
Google heeft geautomatiseerde checks op virussen en spam.
Google checkt hier nooit op, je app kan in tiental minuten online staan. Bij Apple duurt het een aantal dagen tegenwoordig door manueel proces (welke ook niet feilloos is)
In de app zelf kan je waarschijnlijk niks raars vinden: gewoon weer een vpn app die een verbinding opzet. Aan de server kant (waar google en apple niet in kunnen kijken) word gemonitoord met welke services je telefoon contact zoekt en dus welke apps je geinstalleerd hebt staan.
Dit is hetzelfde als zeggen dat de de Algemene Voorwaarden maar had moeten lezen. Lijkt mij alleen maar goed dat de OS leverancier zijn gebruikers probeert te beschermen.
Die voorwaardes zijn er niet voor niets toch?
Koop je ook een auto zonder eerst te kijken of er een motorblok onder de motorkap ligt?
Oftewel je weet wat je installeert en met de auto.. Je weet wat je koopt.
Dat is appels en peren. Een motorblok kan ik zonder moeite zien. Algemene Voorwaarden zijn geschreven om het lezen ervan onmogelijk te maken.
Die snap ik even niet.
Iedereen kan toch lezen?
een vpn onderschept alle netwerk traffiek, dus ik vermoed dat ze op die manier kunnen uitvissen welke apps gebruikt worden op een telefoon
Nou nee,
Een VPN-verbinding is simplistisch gezegd een tunnel tussen twee nodes waar je verkeer doorheen kan sturen. Het 'onderschept' niets.
Je kan prima een VPN opzetten en er niets doorheen sturen (niet heel zinvol, maar het kan wel), of alleen het verkeer voor de bestemming aan de achterkant van de VPN en je kan er ook voor kiezen om AL je verkeer er doorheen te sturen.
Ja dat weet ik. Om het simpel te houden zei ik het zo, want in het geval van deze Facebook VPN gaat alle verkeer er gewoon door
In maart dit jaar bracht Facebook-bedrijf Onavo een nieuwe app uit die informatie verzamelt over geïnstalleerde apps: Bolt Lock. Die app werd nadat hij in de media kwam snel verwijderd en is nooit teruggekeerd, volgens Facebook ging het om een test.
Een test om te kijken of ze er mee weg zouden komen zeker.
[...]

Een test om te kijken of ze er mee weg zouden komen zeker.
wat een aanname weer over onze vrienden bij facebook.

en niet zo vreemd ook ;)
Onavo Protect - VPN Security
Protect - Maar ondertussen wel al het internetverkeer uitlezen...
Je betaald voor een 'veilige verbinding' met je metadata. (alle data op iOS is sinds een tijdje verplicht SSL, dus ze kunnen in elk geval niet meekijken wat er IN de pakketjes staat)
Punt is dat het zwaar misleidend is want het doel is niet beschermen, het doel is privacy inbreuk maken zodat Facebook kan detecteren welke apps populair zijn en dit kan gebruiken bij input van overnames of klonen (zie hoe ze Snapchat hebben leeg geroofd). Facebook is een moreel verwerpelijk bedrijf dat continu schimmige praktijken toepast. In tegenstelling tot Uber hebben ze echter een goede PR afdeling.
Tijd dat Facebook een zeer zware straf krijgt zoals via GDPR mogelijk is. Ik blijf erbij dat een dns-filtering over heel de EU voor dit soort vergrijpen de enige mogelijke straf moet zijn (en dat zou minstens voor 5 jaar moeten zijn).

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Sport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True