Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Apps op iPhone maken opnames van gebruik en sturen die door naar servers'

Apps op iOS die opnames van gebruik maken en die doorsturen naar hun ontwikkelaars, verhullen niet altijd met succes de gevoelige informatie die een gebruiker invoert. Daarnaast noemen ze in hun privacybeleid deze activiteit lang niet altijd.

TechCrunch deed met een expert een rondgang langs applicaties die gebruikmaken van Glassbox, een analyticsdienst die de opnametechnologie in apps bouwt voor hun klanten. Dat waren hotelketens, reisbureaus, luchtvaartmaatschappijen, telco's en banken. De expert gebruikte Charles Proxy om de data die de apps verstuurden, te onderscheppen en uit te pluizen.

Een voorbeeld van de bevindingen is dat Air Canada's app er niet in slaagt om gevoelige informatie te voorzien van zwarte balken; informatie over paspoort en creditcardgegevens worden onversleuteld doorgestuurd. Air Canada heeft toegang nodig tot deze gegevens, maar moet deze gegevens wel goed beschermen en mag bijvoorbeeld een wachtwoord niet op deze manier opslaan. Sommige bedrijven lieten de opnames naar Glassbox sturen, andere kozen ervoor om ze naar eigen servers te laten sturen.

TechCrunch vermeldt niet hoeveel apps de site onder de loep heeft genomen, maar stelt wel dat bij geen enkele app in het privacybeleid wordt meegenomen dat de handelingen van gebruikers binnen de app opgenomen worden en verstuurd worden. Glassbox verplicht zijn klanten niet om melding te doen van deze opnames. Gebruikers kunnen er ook niet achter komen dat hun gebruik opgenomen wordt via een permissie-dialoogvenster, want een venster voor die permissie bestaat niet in iOS.

Ook op Android is het mogelijk voor apps om interacties tussen gebruiker en applicatie op te nemen en te versturen naar een server. Dit valt niet binnen de selectie permissies waarvoor een app toestemming moet vragen aan de gebruiker.

Bedrijven laten de interacties van gebruikers met hun apps hoofdzakelijk opnemen voor kwaliteitsdoeleinden. Het maakt het makkelijker om te zien waar zich bugs voordoen of op welke gebieden een applicatie gebruiksvriendelijker kan zijn. Daarnaast heeft dit soort informatie waarde voor adverteerders, die hiermee profielen van gebruikers opstellen en gerichter kunnen adverteren.

Door Mark Hendrikman

Nieuwsposter

07-02-2019 • 12:50

134 Linkedin Google+

Submitter: gielie

Reacties (134)

Wijzig sortering
Gebruikers kunnen er ook niet achter komen dat hun gebruik opgenomen wordt via een permissie-dialoogvenster, want zo'n venster bestaat niet in iOS.

Dit is natuurlijk niet correct, dat bestaat wel degelijk in iOS. Elke app die toegang wil tot camera, microfoon, lokatiegegevens etc móet daarvoor altijd expliciet toestemming vragen van de gebruiker.

Het probleem hier is dat deze functionaliteit min of meer heimelijk aan de apps lijkt te zijn toegevoegd; zou me sterk verbazen als Apple niet op redelijk korte termijn zal eisen dat dit uit de apps wordt verwijderd.
Als ik het artikel goed begrijp betreft dit het opnemen van het scherm. Daar zijn idd geen permissies voor
Dat zal inderdaad de bedoeling geweest zijn, maar hier wordt de indruk gewekt dat iOS zo'n dialoogvenster helemaal niet kent, en dat is op het randje van misleidend.

Los daarvan denk ik nogmaals niet dat Apple hiervoor een permissie in het leven zal (willen) roepen en hier gewoon per definitie op tegen zal zijn. Zelfs het versturen van diagnostische gegevens van iOS zelf is opt-in; ik denk niet dat Apple bewust toestaat dat app-bouwers dit soort 'diagnostische gegevens' heimelijk versturen naar welke partij dan ook.
Dat zal inderdaad de bedoeling geweest zijn, maar hier wordt de indruk gewekt dat iOS zo'n dialoogvenster helemaal niet kent, en dat is op het randje van misleidend.

Dat staat er niet. Er staat dat er geen dialoogvenster bestaat voor het opnemen van het scherm van de gebruiker, omdat dit gewoon mogelijk is.

ik denk niet dat Apple bewust toestaat dat app-bouwers dit soort 'diagnostische gegevens' heimelijk versturen naar welke partij dan ook.

Apple verbiedt dit niet. Je denkt heel veel maar je hebt geen gelijk.
Ik had het over app analytics / crash reports, niet schermopnames.
Maar ik had het wél over schermopnames die onder het mom van ‘diagnostiek’ worden gemaakt en verstuurd.
De permissie maatregel zou een wassen neus zijn. Uiteindelijk bepaal je als app wat er op het scherm zichtbaar is. Dan moet elke app die je installeert dus toegang tot het scherm vragen. En als dat geblokkeerd is dan laat je al je scherm calls (die je in je eigen code hebt) opnemen en dan heb je bijna hetzelfde resultaat, en dat is niet tegen te houden.
Er is inderdaad een permissie-dialoogvenster, dat is echter voor deze opnamen niet van toepassing. Deze opnamen maken geen gebruik van camera, microfoon of locatie. Wat er wordt opgenomen is het beeld op het scherm (dat dus door de app zelf wordt gegenereerd). Dus dit zijn gegevens waas de app sowieso al toegang toe heeft (en wat je niet kan verbieden). Wel is het, zoals je zelf ook aangeeft, natuurlijk mogelijk dat Apple dit inderdaad op korte termijn verbiedt.
Het is inderdaad zo als een app een stukje hardware binnen iOS wilt gebruiken je daar toestemming moet geven. Maar een screenshot/opname hoeft een app geen speciale rechten te hebben.

Overigens... Ik vind dat dit soort apps echt een stap te ver gaan, privacy is nergens meer te vinden.
Gaan al die apps te ver of gaat Apple te ver door het toe te laten? Apple weet dit natuurlijk heel goed!
Indien dit over Android ging dan las je hier natuurlijk vooral berichten als: ja ach daar kies je voor bij Android, wil je dit soort praktijken niet moet je een iPhone nemen, mja dan heb je de kans dat gewoon alles wat je op je beeldscherm doet, doorgestuurd wordt :D

Mensen dienen te leren dat Apple geen privacy god is, die privacy ligt bij elke gebruiker zelf. Of ze nu een Microsoft, Apple of Google apparaat gebruiken...
Gaan al die apps te ver of gaat Apple te ver door het toe te laten? Apple weet dit natuurlijk heel goed!
Er wordt hier gedaan alsof dit makkelijk tegen is te gaan, dat is maar de vraag.

"Een opname" kan namelijk ook gewoon een 'replay' zijn van alle akties van een gebruiker. Die akties moet een app noodzakelijkerwijs kunnen krijgen.

"App wordt geopend"
Na 2 seconden werd geklikt op de knop "nieuw document"
Na 2 seconden wachten werd geklikt op 'foto toevoegen'.
etc. etc.

Dus op basis van het simpelweg alles loggen dat een gebruiker doet (telemetrie) en dat log doorsturen kun je "een opname" maken.

Apple heeft vrij geavanceerde tools en doet echt zijn best, maar veel appmakers proberen ook hun gedrag voor app review te verbergen. Zo had Uber simpelweg een check ingebouwd in hun app, waarbij als het geocoordinaat overeenkwam met de lokatie van de kantoren van Apple, dat ze dan bepaald gedrag (doorsturen van gebruikersdata) niet uitvoerden.
Gaan al die apps te ver of gaat Apple te ver door het toe te laten? Apple weet dit natuurlijk heel goed!
Dat is natuurlijk puur een aanname.
Nou aanname? Ik ga er gemakshalve vanuit dat Apple dit zelf faciliteert om toe te staan, anders zou het nog veel ernstiger zijn. In principe valt er wat voor te zeggen. Stel dat een gebruiker via een bepaalde methode via de invoervelden een hackpoging zou willen doen, dan is de informatie die zoiemand gebruikt wel degelijk van belang om dus te achterhalen.

Maar het lijkt me hoe dan ook nodig, ook voor Apple, om dit soort dingen via permissies te laten verlopen. Je kan niet aan de ene kant roepen dat privacy voor jou en de klanten van topbelang is en dan zo "gemakkelijk" dit soort dingen toestaat zonder dat de gebruiker hier van op de hoogte is.

Of het nu gaat om verbeteringen door kunnen voeren aan apps of niet. Het gaat er gewoon om dat als er een kans bestaat dat data van jezelf is bij een ander terecht kan komen je hiervoor gewaarschuwd wordt en om toestemming gevraagd wordt.

Stel je voor dat bijvoorbeeld een snapchat of facebook ook doet en jij uit de douche komt en denkt ik maak even een selfie van mn gezicht met handdoek om haar maar de rest is op de foto niet in beeld, dan kan dit bij het composeren van de foto wel in beeld komen en dat zou dan in theorie ook compleet op de servers van de betreffende partij kunnen komen. Dan zeggen ze ja: moet je geen naakt foto's maken, dat is niet eens gebeurd want het zijn opnames van het gebruik van de app.

Kortom, aan banden leggen en om toestemming vragen en uitleggen wat er kan gebeuren.
Nou aanname? Ik ga er gemakshalve vanuit dat Apple dit zelf faciliteert om toe te staan, anders zou het nog veel ernstiger zijn.
"Er gemakshalve vanuit gaan" is dus een aanname. En dat Apple dit zou faciliteren is zelfs een nog grotere aanname.

Apple hoeft dit ook helemaal niet te faciliteren, want een app heeft duidelijk toegang nodig tot het scherm en moet zaken kunnen tonen, en een app heeft ook toegang nodig tot het internet. Wat kan die app dan allemaal doen? Precies, de getoonde inhoud van de app opsturen naar de eigen servers. Apple kan dit niet zomaar blokkeren, want hoe zouden ze dat moeten aanpakken? Wat ik me wel kan voorstellen is dat Apple hier strenger op gaat controleren en apps gaat verwijderen uit de Store als ze betrapt worden.

Voorbeeld: in mei 2018 heeft Apple nog apps uit de Store verwijderd die de locatie van de gebruiker deelden met derden. Ook dit kan Apple onmogelijk detecteren, want het kan niet meekijken op de servers van een app developer, maar indien bekend wordt dat een bedrijf dit doet dan kan Apple er tegen optreden. En dat doen ze dus ook. Ben dan ook benieuwd naar de reactie van Apple op deze onthulling.
Als Apple het niet weet, leeft Apple dusdanig in een ander realiteit dat andere beveiligings claims van Apple met een korreltje zout genomen moeten worden.
Is het kunnen maken van zulke opnames dan gewoon een grote security bug in iOS waar al die bedrijven toevallig elk onafhankelijk van elkaar achter zijn gekomen (of allemaal onderling hebben gecommuniceerd) maar waar Apple geen weet van had? Of heeft Apple het gewoon als optie ingebouwd en in een developer kit aangegeven hoe bedrijven hier gebruik van kunnen maken? Welk van die opties denk je dat waarschijnlijker is?
Maar Apple laat nooit apps toe aan de appstore die kwaadaardige code bevat en dus.. oh wacht. Deze komt uit de appstore.
Maar de "jullie Microsoft/Google play store app checks zijn zo lek als een mandje" en "de kwaliteit van IOS apps is vele malen beter dan die van Google, zeker op het gebied van security want in Android mag je alles!" roepers zullen denk ik wel even stil zijn in de comments van dit nieuwsbericht.
Is het niet zo dat het op Android ook gebeurt?

"Ook op Android is het mogelijk voor apps om interacties tussen gebruiker en applicatie op te nemen en te versturen naar een server. Dit valt niet binnen de selectie permissies waarvoor een app toestemming moet vragen aan de gebruiker."
Apple apprecieert privacy net iets meer dan Google. Lees er hun privacy statements maar op na.
Dit is zeer vervelend, maar waarschijnlijk ook gewoon niét te vermijden.
Ja klopt, ik zeg niet dat ze allemaal op hetzelfde level opereren. Bij Apple is het misschien (weet ik niet) iets minder "erg".

Maar naar mijn weten wordt op mijn toestel geen schermopnames gemaakt haha. Dat vind ik het uiterste van het uiterste.
Je weet heel goed dat Apple een hele andere mentaliteit heeft dan Google als het op privacy aankomt. Sure, statements op zich zeggen niet alles, maar bij Google draait alles om jouw data. Wie dat niet wil zien, moet het zelf maar weten.
Die is er dus niet. Er is geen permissie voor "Maak opnames van mijn activiteit" in het permissie-dialoogvenster.
Deze app gebruikt/misbruikt de schermuitvoer. Dat kun je niet uitschakelen. En heeft ook geen eigen afvink hokje.
Ik vraag mij ook serieus af of het daadwerkelijk geen andere apps raakt mocht dit wel uitgeschakeld worden. Ik kan mij zomaar voorstellen dat bijvoorbeeld bepaalde remote support apps juist gebruik maken van dergelijke functionaliteit. Een dialoogvenster waar dus toestemming gevraagd wordt toevoegen aan het OS zou dus een goede oplossing/workaround zijn. En dan niet alleen bij installatie van de app, maar bij het daadwerkelijk gebruiken/aanroepen van de functionaliteit ervan
Ik heb geen idee wat je bedoelt.
Maar elke app wil heel graag de gebruiker iets op het scherm laten zien. = Beeldschermuitvoer. En heel graag weten waar een gebruiker op klikt/intypt. = Invoer. Welke je weer kan loggen.
Elke app heeft hier dus ongevraagd altijd toegang toe. Welke toestemming wil je hier voor vragen?
Wat jij aangeeft, plus er opnames van maken en doorsturen naar externe servers. Waar het artikel over gaat allicht? :+
men maakt álleen' opnamen van eigen app(iOS), overigens wordt https://www.glassboxdigital.com/ ook door de ING gebruikt en toegepast. zo staat op de site vermeld.

[Reactie gewijzigd door himlims_ op 7 februari 2019 12:58]

Eigenlijk hebben we dit gewoon aan ons zelf te danken. De commercie drukt en drukt op bedrijven om meer en meer winst te maken. Niemand wil meer betalen of zo min mogelijk dus gaan bedrijven kijken hoe ze op andere manieren het meeste uit je kunnen slepen.

Welkom Marketing 2.0

Hun site zegt het al "Glassbox is the first Enterprise analytics platform that analyses every digital customer interaction. Can your website afford not to have a brain?"

Niet om aluminium hoedjes op te zetten, maar trek even een parallel ING maakt meer omzet/winst dan ooit halen nieuwe klanten binnen terwijl ze het ene schandaal na het andere over hun heen krijgen... Alleen maar om dat hun apps en interactie zo goed zijn.

Toevoeging;
Ze kijken mee in hun eigen app, zien ze alles? Rekening nummers die ik opgeef? Neem aan niet mijn wachtwoord (punten op scherm) aan gezien toetsenbord buiten de app valt (Zit in de OS laag die er boven ligt).

[Reactie gewijzigd door JMS 450 op 7 februari 2019 13:11]

Eigenlijk hebben we dit gewoon aan ons zelf te danken. De commercie drukt en drukt op bedrijven om meer en meer winst te maken.
Niemand wil meer betalen of zo min mogelijk dus gaan bedrijven kijken hoe ze op andere manieren het meeste uit je kunnen slepen.
De consument en bedrijven doen exact hetzelfde: proberen om zo veel mogelijk te krijgen voor zo min mogelijk. Waarom zou je de consument dit kwalijk nemen, maar niet een bedrijf.

[Reactie gewijzigd door RuudAnders op 8 februari 2019 09:57]

Omdat een bedrijf vaak ook nog een publiek doel dient? Zeker een bank?
Omdat de keuze macht bij consumenten ligt.
Een consument heeft de keuze wel of niet een dienst af te nemen en bij welke partij.

Een bedrijf moet moeite doen om consumenten te winnen. Dit kunnen ze ook op andere manieren doen dan te spioneren. Helemaal mee eens.

Maar de keuze om in zee te gaan met deze bedrijven is aan de consument.
Want je denkt dat ze je op hun website niet kunnen volgen? :?
Volgen misschien wel maar geen schermopnames maken.
Wrong. Muisbeweging, clicks en keystrokes zijn eenvoudig genoeg te registreren. Die opname valt gewoon te reconstrueren.
Ja je kan registeren wat een klant doet, maar niet wat de klant niet doet.

Als de klant beetje rondkijkt en uiteindelijk geen bestelling plaatst of gegevens invult dan zie je dus niet waar de klant heeft gekeken.
ook door de ING gebruikt en toegepast. zo staat op de site vermeld.

Waar?
staat in post waarop je reageert
Ik kan het niet vinden op de website van Glassbox.
Ik zie allerlei bedrijven maar geen ING op de site staan.
Dit vind ik vaak wel het gevaar van Apple, iedereen ziet ze als de privacy goden en alleen wat je aangeeft kan op een iPhone, maar dat is dus niet zo. Apple heeft security issues net als ieder bedrijf, dat is niets geks en kan je ze ook niet op aankijken, maar de mensen die altijd roepen dat Apple alles 100% op orde heeft houden wel zichzelf voor de gek.
Nu vind ik die mensen persoonlijk niet zo erg, maar er wordt wel een beeld mee gecreeerd, namelijk dat als je Apple gebruikt je altijd veilig bent.
Beetje naïef om dat te denken. Apple is ook "maar" een commercieel bedrijf met veel invloed en marktaandeel op deze markt.

Ik beschouw ze vooral een beetje als "the lesser evil". In vergelijking met Google doen ze het vrij goed, maar er is alsnog meer dan genoeg op Apple aan te merken.
Simpele regel: follow the money. Waar haalt Apple zijn geld vandaan? Verkoop van hardware en diensten. Waar haalt Google zijn geld vandaan? Verkoop van advertenties. Wie van de 2e heeft belang bij zoveel mogelijk te weten van zijn gebruikers?
Er is idd meer dan genoeg op Apple aan te merken, maar qua gedachtengoed over privacy denk ik dat Apple en Google toch dag en nacht zijn.
An sec Google, maar aangezien het voor beide geld oplevert zou ik Apple ook niet zo zeer het voordeel van de twijfel geven om eerlijk te zin. Als het op financiën aan komt is denk ik geen enkel bedrijf 100% te vertrouwen.
Alleen is dit geen security issue van het OS maar gewoon functionaliteit die je niet kan blokkeren. Dat is net zoals websites gaan loggen hoe hun gebruikers op de site navigeren. Denk bijvoorbeeld aan heatmaps die van sites ontwikkeld zijn. Ook Tweakers heeft het ooit gedaan. Als app maker kan je perfect registreren waar er op je app geklikt wordt en welke data ingevoerd wordt. Dat je dat allemaal ook nog eens netjes doorstuurt voor analyse is dus hier potentieel een probleem. Maar je kan niet verhinderen dat een app gaat registreren dat er op een knop geklikt is of dat de gebruiker een veld heeft ingevuld, want dan is je app ineens waardeloos.
Probleem is ook dat Android zeer groot is waardoor die vaker onder de loep genomen wordt.
ios heeft wereldwijd een veel kleiner marktaandeel dat het voor onderzoekers bijvoorbeeld minder interessant is.
ios heeft wereldwijd een veel kleiner marktaandeel dat het voor onderzoekers bijvoorbeeld minder interessant is.
Daarom wordt voor werkende exploits ook makkelijk het dubbele betaald voor iOS: omdat niemand anders bereid is naar bugs te zoeken op zo'n onbenullig platform :z
Het is net omgekeerd: iOS is een veel interessanter OS voor onderzoek omdat het veel meer gebruikt wordt door bedrijven en omdat het om het belangrijkste groep binnen de high-end van de markt gaat.
Je baseert je op cijfers uit 2011. De markt is nu compleet veranderd.
Geen idee naar welke cijfers je verwijst. De dominante positie van Apple in de high-end is ontstaan nà 2011 eigenlijk.
In grote bedrijven (dan heb ik het niet over bedrijfjes van een paar honderd man), zie ik eigenlijk alleen maar iOS smartphones. Mensen die zich een high-end telefoon kunnen veroorloven (en dan heb ik het niet over Tweakers) kopen nog steeds default een iPhone.
Dat zijn allemaal geen waarde-oordelen, maar gewoon facts.

[Reactie gewijzigd door quantumleapje op 7 februari 2019 21:49]

Dat argument gaat op voor macOS <-> windows, maar lang niet meer voor iOS <-> android.
Zeker niet gezien de sterke fragmentatie binnen android.
wat heeft fragmentatie mee te maken?
marktaandeel zegt alles of denk jij of je baas de verschil niet kent tussen 100 man een 100k man?
Ik ben verre van een kenner, maar volgens mij maakt fragmentatie het minder interessant om naar foutjes in de software te zoeken en deze uit te buiten. Hoe kleiner de fragmenten, hoe kleiner de potentiële te misbruiken groep. Neen?
tuurlijk niet het is niet alsof android op nieuw gemaakt woord.
Een nieuw versie verschilt max misschien 5% van totaal van adroid en niet 95%.
kijk voor de lol hoe groot de code base is van android :)
Alles in relatief. Een Volvo is ook heel veilig.

Het grote verschil is dat Apple de privacy van zijn gebruikers serieus neemt en Google alles van zijn gebruiker wil weten. Het zou mijn dan ook niet verbazen dat Google, omdat ik gmail heb geïnstalleerd op mijn telefoon, mij nog steeds weet te volgen, op de momenten dat ik mail binnen haal.

Het "vrijgeven"van bepaalde data is inherent aan het gebruik van bepaalde apps. Dat kan zelfs Apple niet volledig voorkomen (zonder de gebruiksvriendelijkheid ernstig geweld aan te doen). Apple heeft die derde partijen ook gewoon nodig.
Wat een raar idee dat Apple privacy serieus neemt en Google niet
[quote]
mensen die altijd roepen dat Apple alles 100% op orde heeft houden wel zichzelf voor de gek.
[quote/]

Hoeveel procent van de Apple gebruikers roept dit dan, of roep je zelf maar wat?
Lijkt me sterk dat mensen roepen dat Apple 100% goed is. Als die er toch zijn, snap je zelf toch ook hoop ik dat je zo iemand niet serieus kunt nemen. Doe je dat wel, dan ligt het niet aan die gebruikers, niet aan Apple, maar aan jou. Geen bedrijf is 100% goed.
Aangezien dat de helft van de mensen zijn kan je zeggen dat het aan mij ligt, maar mensen zijn nu eenmaal dom. Ik val Apple hier helemaal niet voor aan als je goed kan lezen
Hoe kom je erbij dat de helft van de mensen dat roepen?
Waarom is dit specifiek een gevaar van Apple?
Het is niet netjes aar ik vraag me af of Apple dit binnen een app kan blokkeren. Terwijl je screenrecording of ingebouwde remote access om zeep helpt.
Het mooie is, als Apple dit gaat fixen in iOS13, dan zullen pakweg 80% tot 90% van de devices voorzien worden van deze update. Dan is gelijk iedereen mee en zijn we op weg naar een mooiere toekomst. Als Android iets gelijkaardigs fixt, zijn we verder van huis.

Overigens is het vooral een "issue" door het misbruiken van een feature. De enige oplossing zal zijn, een permissie inbouwen voor screen recordings... Tools voor analytics (zoals https://www.appsee.com) worden hier dan wel het slachtoffer van :)
Ook op Android is het mogelijk voor apps om interacties tussen gebruiker en applicatie op te nemen en te versturen naar een server. Dit valt niet binnen de selectie permissies waarvoor een app toestemming moet vragen aan de gebruiker
Zou wel zo netjes zijn als de IOS apps dit ook zouden melden / vragen. Ben al jaren een Iphone gebruiker. Maar dat ding is gewoon een blackbox.
Maar dus ook op Android.
Het artikel is dus nogal als click bait geschreven, beide OSen hebben deze zwakheid (die je denk ik niet kunt voorkomen).
iOS is toch hét privacy OS?

"Daar betaal je ook voor."
"Bij Android betaal je met je privacy, daarom kost een Apple meer."

Zomaar wat dingen die je ontzettend vaak langs ziet komen, daarom is er voor iOS wat nieuws meerwaarde.
Hier heeft @dehardstyler wel een punt vind ik. Maar zoals gewoonlijk worden negatieve uitingen over Apple gedown mod.

Dan kan men wel meteen naar andere OS-en wijzen maar als ie ziet waar dat Glassbox vandaan komt (Israël) en door wie het ontwikkeld is moet je je afvragen waarom Apple dit toelaat in hun apps. Het is pure spionage software en het zou mij niks verbazen als de data ook naar de servers van glassbox zelf gaan.
Maar zoals gewoonlijk worden negatieve uitingen over Apple gedown mod.
Dat mag ook, daardoor weet ik dat ik hier de juiste zieltjes raak. :)
Dan kan men wel meteen naar andere OS-en wijzen maar als ie ziet waar dat Glassbox vandaan komt (Israël) en door wie het ontwikkeld is moet je je afvragen waarom Apple dit toelaat in hun apps. Het is pure spionage software en het zou mij niks verbazen als de data ook naar de servers van glassbox zelf gaan.
Precies. Maar nu de geest uit de fles is, zal er zeker wat aan gedaan worden bij Apple. En dan wordt er weer iets nieuws bedacht. Dit geldt net zo goed voor Google trouwens.
Moet je je voorstellen hoe erg het dus bij Android is.
Ik had van jou inderdaad niks anders verwacht. :)
Alleen gaat het niet om mij maar om Android.

Maar neem aan dat je sowieso met een bepaalde verwachting een Apple topic binnenkomt want je weet natuurlijk dat dezelfde onzin die je al ziljoenen keren herhaald heb zien worden nogmaals herhaald worden met dezelfde non argumenten over Steve Jobs die zich zou omdraaien in zijn graf en prijs en andere onzin.

Was getekend, een Galaxy S7 gebruiker...
[deleted] Had het verkeerd gelezen.

[Reactie gewijzigd door 0vestel0 op 7 februari 2019 14:03]

persoonlijk heb ik er totaal geen moeite mee; de ontwikkelaar kan de interactie van de klant/gebruiker volgen, nakijken, en op die manier hun product verbeteren. Prima. Maar wat ze bij android schijnbaar ook kunnen, is de overige intracties inzien; dus BUITEN de app om.... dat is een heel ander verhaal.
Hangt er een beetje van af. Als de ontwikkelaar jouw bank transacties en bank gegevens mee kan kijken (omdat ING blijkbaar ook glasbox gebruikt) heb ik daar wel degelijk moeite mee. Het gaat niet over functionele gebruiksgegevens dan, maar om persoonlijke data.
Zo konden ook gebruikers van een hotel boekings site de boekingen blijkbaar inzien.
Dat is dan ook niet het probleem hier. Wat deze meneer heeft getest laat zien dat er schermopnamens gemaakt konden worden die ongefilterd waren. Zoals in zijn onderzoek aangegeven (onderzoek Air Canada) kon er dus letterlijk creditcard gegevens bekeken worden van klanten die deze invulde voor betalingen. Zou jij me kunnen uitleggen hoe dit gebruikt kan worden om "hun product te verbeteren"?
Heel simpel: hoe snel is de gemiddelde klant in staat zijn gegevens in te vullen, hoe vaak corrigeert die, hoe vaak scrolt die terug omhoog, et cetera. Volgens mij is het probleem niet het inzien van creditkaartgegevens of wat dies meer zij, maar het niet versleuteld versturen. Waardoor derden het dus ook kunnen inzien.
Klopt, dit laat je testen door een testgroep waardoor de informatie die hier ingewonnen wordt voor testdoeleinden gebruikt worden voor een bepaalde tijd (GDPR compliant). In de huidige situatie is deze financiele informatie alleen waardevol voor de aankoop, en niet nodig voor andere doeleinden omdat het hier om een live klanten situatie gaat. (niet GDPR compliant)

Het probleem is dan dus ook dat derden deze informatie zouden kunnen inzien. Daar heb je gelijk in. Als ze nou deze informatie vanaf "stap 1" gemaskeerd hadden dan was deze "productverberter" informatie inwinning een stukje acceptabler geweest.

Off-topic: Ik ben dan ook van mening dat er een stukje verantwoordelijkheid bij credit card bedrijven ligt om hier iets mee te doen. Zoals film distribiteurs software-matige screen capturing niet toestaan, moeten de credit card bedrijven hier vast ook iets mee kunnen via een beleid o.i.d.
Neem aan dat ze met deze software alleen opnames kunnen maken binnen hun eigen app. Dus niet info uit andere apps kunnen opnemen.
Klopt, ze kunnen alleen beelden maken in hun eigen app, niet daarbuiten. Ook als je bijvoorbeeld op een iPad 2 apps side-by-side hebt staan kunnen ze alleen in hun eigen app een opname maken.
Voor de app van jouw bank maakt het niet zoveel uit (De bank kent je saldo en uitgeef gedrag natuurlijk al).

Maar stel je voor dat dit in een fotografie app zit. Genoeg mensen die pikante foto's van zichzelf nemen.

Hopelijk schakelt Apple dit ZSM uit, en dat apps enkel na het verzetten van een privacy instelling (die default uit staat) dit soort dingen kunnen doen.
Dat was inderdaad precies mijn punt. Als het opnemen enkele binnen eigen app kan dan hebben zij in principe de gegevens al.

Natuurlijk zou het kwalijk kunnen zijn voor het punt wat jij benoemt. Maar die foto app zou sowieso al foto's naar hun cloud kun syncen als ze dat zouden willen. Daar levert deze techniek geen extra inbreuk op de privacy op.

Volgens mij is het idee achter deze techniek vooral bedoelt om UI analyse grootschalig en relatief eenvoudig aan te pakken.
ik ben wel erg benieuwd naar de reactie en maatregelen van Apple, meestal ondernemen ze wel actie na zulk nieuws
In dit geval wordt dat best lastig denk ik. Er is denk ik geen manier om dit echt te stoppen, de app moet immers input registreren en verwerken. Er zijn meerdere manieren om dat te bereiken en Apple noch Google kunnen dat imho betrouwbaar voor elkaar krijgen zonder problemen te veroorzaken.
Apple kan misschien de app uit de app store gooien en eisen dat ze 100% transaparantie geven over de werking van de app voordat het weer in de app store word opgenomen.
Denk dat dat een hel wordt om te controleren of ze daar echt aan voldoen, want dan moeten ze alle privacy policies en algemene voorwaarden van alle apps gaan doorspitten. Bedrijven moeten hier zelf gewoon goed aan voldoen en anders mag wmb de toezichthouder optreden; eg: de Autoriteit Persoonsgegevens. Ik zie daar geen directe taak voor Apple liggen eigenlijk.
Denk eerder dat het bij apps precies hetzelfde werkt als bij websites. En dit dus gewoon hetzelfde is. Men wil weten waar je klikt, hoe lang je op een bepaalde pagina blijft, enzovoorts. Op websites zijn er zelfs experimentele pagina’s voor een onwetende doelgroep waarbij er een kleine aanpassing is gemaakt, zoals een andere kleur van een button. Dit om te kijken of de website/app verbeterd kan worden.

Heb daar ooit iets over gelezen/gezien, maar weet even niet meer waar.
Op sites heb je ook mouse tracking erbij mocht de gebruiker die hebben.
Op websites kan inderdaad ook gebruik gemaakt worden van sessionrecording en heatmaps. Zie bijvoorbeeld plan: Nieuwe lay-out voor nieuws en reviews en plan: Nieuwe lay-out voor nieuws en reviews
Dit is gewoon A/B testing :)
Dat was bij booking.com

Ze kijken of ze daarmee de kans op een boeking kunnen verhogen.

Maar andere bedrijven zullen dat vast ook wel doen.
Heel veel websites doen ook aan session replay. Is gewoon een redelijk goedkope manier van usability testen met als doel de conversie verhogen. Kijk bv eens bij mouseflow.com en https://www.fullstory.com/
Valt dit niet onder diagnostici gegevens delen met ontwikkelaar?

Daarnaast is het vind ik het een beetje raar dat de focus ligt op Apple terwijl dit probleem zich op app niveau afspeelt op meerdere platformen.
Perfect voorbeeld van hoe hot Apple is. Android kan en doet precies hetzelfde :+

Waarom staat er niet Apple en Google (iOS en Android) in de titel?
Gokje: Omdat Apple claimt de apps in de store goed te controleren en hun gebruikers te beschermen tegen dit soort fratsen?
Tegenwoordig moet de gebruiker bij Android permissies geven hiervoor en dat is bij iOS niet nodig (because of reasons) volgens Apple.
In het bovenstaande artikel staat letterlijk dat er voor dit soort 'fratsen' ook geen toestemming nodig is onder Android:
Ook op Android is het mogelijk voor apps om interacties tussen gebruiker en applicatie op te nemen en te versturen naar een server. Dit valt niet binnen de selectie permissies waarvoor een app toestemming moet vragen aan de gebruiker
Dus Android is op dat vlak niet beter of anders dan iOS.

@Thomas18GT De reden waarom het niet in de titel staat is redelijk duidelijk, het originele artikel heeft het enkel en alleen over de iPhone, Android wordt er niet eens genoemd. Tweakers vermeldt trouwens alleen dat het mogelijk is op Android, niet dat het zo is. Het zal waarschijnlijk wel maar om dat dan op basis van aanname in de titel te zetten?

[Reactie gewijzigd door D-Three op 7 februari 2019 13:16]

Ik claim ook niet dat Android hierin beter is.
Ik claim dat Apple beweert de privacy en de bescherming van de persoonlijke gegevens van hun users hoog in het vaandel heeft staan en hiermee dus laat zien hun apps niet goed genoeg controleert om dit te waarborgen.
Zoals ze zelf zeggen:

Protecting user privacy is paramount in the Apple ecosystem, and you should use care when handling personal data to ensure you’ve complied with privacy best practices, applicable laws and the terms of the Apple Developer Program License Agreement, not to mention customer expectations.

En:

5.1.1 Data Collection and Storage
(i) Privacy Policies: All apps must include a link to their privacy policy in the App Store Connect metadata field and within the app in an easily accessible manner. The privacy policy must clearly and explicitly:
Identify what data, if any, the app/service collects, how it collects that data, and all uses of that data.

Oftewel Apple zegt in mijn honest opinion dat ze dit beter voor elkaar hebben dan bij de concurrenten.
De app makers melden dit dus niet duidelijk in hun policy en Apple heeft niet opgemerkt dat ze zich niet aan hun regels houden.
Daarom vind ik dit wel nieuws.

Nogmaals, ik kraak Apple niet af, ik vind Android niet beter....het is gewoon een fout van Apple, dit is in het nieuws gekomen, hopelijk doet Apple of de app-makers er iets aan en that's it.
Hoe is dit een fout van Apple?

Hoe moet Apple dit vantevoren voorkomen?

Zelfs als ze dit zouden verbieden komt er over een tijdje weer iets van een app die weer een slimmigheidje vind om gegevens te kopieren.

Je kan toch onmogelijk miljoenen apps op de exacte werking controleren?
Uit het bron artikel: "He said that the data was “mostly obfuscated,” but did see in some cases email addresses and postal codes.".

Spannend zeg, die hebben de apps waar het over gaat toch al wel van je. Bij mij kan je het adres zelfs in het telefoonboek vinden en mijn emailadres hebben zoveel verschillende websites dat die echt al lang is uitgelekt. Ook niet heel moeilijk bij een groot gedeelte van de mensen (voornaamachternaam@live/google).

Maar hé, het gaat over Apple (niet eens over Apple zelf, maar ach) dus gratis clicks.
dat zegt tweakers die het getest heeft?
want ik kan het niet op techcrunch vinden die het getest heeft op ios.

[Reactie gewijzigd door raro007 op 7 februari 2019 13:16]

Is het dan raar om van Tweakers te verwachten dat ze hier een 10 minuten durend onderzoekje aan wijden?

Anders kunnen ze wat mij betreft gewoon de link wegzetten, scheelt ze weer wat werk voor de clicks.
Ik denk dat dat vooral door hun eigen marketing komt. Steeds roepen dat ze privacy zo belangrijk vinden etc. Reclame voor CES maken met "What happens on your iPhone stays on your iphone".

Ook in een rare periode waar ze bijna constant mega blunders maken op security gebied.

Alleen deze week al met facetime en nu dit.
Het is toch ook zo dat ze privacy belangrijk vinden?

Deze app komt toch niet van Apple?

Waarom zou je Apple moeten afrekenen voor dingen die andere bedrijven verkeerd doen?
Ja en Facebook word gefaciliteerd door Windows omdat het op Windows draait.

Je kan toch niet Apple beschuldigen voor het overtreden van wetten of regels door app makers?

Zeker niet als het niet word toegestaan en het bestraft word, je kan toch onmogelijk alles vantevoren zien aankomen?

Dacht dat dat ondertussen wel duidelijk was na al die priclvacy schandalen van bedrijven.
Het zijn regels die ze zelf opstellen.

"Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity.”

Jij gaat er toch vanuit dat apps die in de Appstore staan veilig en betrouwbaar zijn?
Waarom is de controle op apps dan zo slecht? Dit zit in zoveel apps, ook de grote. Waarom is dit nooit gevonden?

Aangezien het zo vaak wordt gebruikt hoef je het ook niet bij elke app apart te doen. Mits je kan diffen oid.
De goedkeuring van Apps is zelfs geautomatiseerd omdat er zo enorm veel apps worden aangemeld worden dat het onmogelijk is dat je dit door mensen laat doen.

Dus hoe kan je dan verwachten dat apps ook nog stuk voor stuk grondig worden gecontroleerd laat staan iets gevonden kan worden want controle betekent niet per definitie dat je een overtreding ook automatisch vind.
wat erg dit. maar ja we wisten wel waar al die bedrijven bezig mee waren. toch kijk ik er een beetje verbaasd nog haha.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True