Apple gaat optreden tegen iOS-apps die schermopnames niet kenbaar maken

Apple zegt tegen ontwikkelaars dat zij het duidelijk moeten aangeven als er schermopnames worden gemaakt, of ze moeten de functionaliteit uit hun app halen. Doen zij dat niet, dan wordt de app verwijderd.

Een woordvoerder van Apple bevestigt tegenover TechCrunch dat het bedrijf snel gaat optreden tegen apps die opnames van het scherm maken zonder gebruikers daar over in te lichten. Volgens de App Store Review Guidelines moeten apps expliciet toestemming vragen en een duidelijke visuele indicatie geven als er schermopnames worden gemaakt.

TechCrunch heeft ook van ontwikkelaars vernomen dat Apple contact met ze heeft opgenomen over de praktijken. Een ontwikkelaar zou verteld zijn dat de code die het opnemen van schermactiviteiten mogelijk maakt binnen een dag verwijderd moet worden.

Donderdag bleek na onderzoek van TechCrunch dat er iOS-apps zijn van grote bedrijven die heimelijk opnames van het scherm maken. Dat gebeurt middels analyticsdienst Glassbox en is veelal bedoeld voor kwaliteitsdoeleinden, maar persoonsgegevens worden daarbij niet altijd verborgen en soms onversleuteld doorgestuurd naar servers van Glassbox of de bedrijven zelf.

Geen enkele van de apps die dergelijk gedrag vertoonde, maakte in de privacyvoorwaarden melding van de schermopnames volgens TechCrunch. De uitspraak van Apple wijst erop dat ontwikkelaars bovendien duidelijker toestemming moeten vragen dan enkel een vermelding in de voorwaarden. Onder andere Expedia en Hotels.com maken in hun apps schermopnames zonder dat te melden.

IT-banen

Reacties (103)

HEY_DUDE 8 februari 2019 08:19

Blijkbaar vinden we het heel normaal dat bedrijven ons vergaand spioneren door schermopnames te maken. Een melding in de voorwaarden, die slecht of niet gelezen worden, zou al weer voldoende moeten zijn. Wat mij betreft zouden er gevangenisstraffen op moeten staan bij deze grove inbreuk op de privacy.

Eupeodes

@HEY_DUDE • 8 februari 2019 08:34

De uitspraak van Apple wijst erop dat ontwikkelaars bovendien duidelijker toestemming moeten vragen dan enkel een vermelding in de voorwaarden.

Dit wekt toch meer de indruk dat er op enig moment een popup komt waarin staat 'Deze app wil voor kwaliteitsdoeleinden opnamen maken van je activiteit. Ga je akkoord? Ja/Nee'. Het lijkt mij heel terecht dat deze vraag wordt gesteld voor opnamen gemaakt worden en worden doorgestuurd naar de ontwikkelaars.

[Reactie gewijzigd door Eupeodes op 23 juli 2024 00:27]

Remco H @Eupeodes • 8 februari 2019 08:40

Hopelijk kan een app dan wel gebruikt blijven worden want met grote regelmaat kom je apps tegen die niet functioneren als je ze geen toegang geeft tot alle (m.i. onnodige) onderdelen.

Aiii @Remco H • 8 februari 2019 08:47

In dit geval laat ik de app in dat geval met alle plezier links liggen, en ik zal de enige niet zijn. Dus dan is het met die praktijk ook vrij snel afgelopen.

ro8in @Aiii • 8 februari 2019 08:58

Inderdaad, als een app niet wil functioneren zonder toegang tot allerlei dubieuze zaken dan hoef ik de app niet. Een rekenmachine die je locatie wil weten etc. Nee bedankt!

Hans C @HEY_DUDE • 8 februari 2019 09:03

Nee, dit gaat verder wat Apple betreft:
“en een duidelijke visuele indicatie geven als er schermopnames worden gemaakt”

DigitalExorcist @Hans C • 8 februari 2019 09:27

In principe gebeurd dat al. Als je handmatig een schermafdruk maakt hoor je de sluiter van de camera, flitst je beeld even en verschijnt je screenshot enkele seconden onderin beeld als een thumbnail.

Het zou alleen nog zo moeten zijn dat dat één API wordt om schermafdrukken te maken en die overal verplicht toegepast wordt. En met verplicht bedoel ik dat Apple dat sluitergeluid afspeelt, flitst en de thumbnail laat zien, net zoals dat Touch/FaceID overal hetzelfde is.

4x4 @HEY_DUDE • 8 februari 2019 08:59

Sommigen geven volledig toegang aan privacy monsters als Facebook voor twee tientjes per maand.
De opkomende generatie geeft helemaal niets om privacy omdat ze in een wereld opgroeien waarin er niets om wordt gegeven. Zeker in hun jonge wereld.

De overheid doet daar nog een schepje bovenop waar door de privacy van ons allemaal momenteel op de rand van een hele diepe afgrond staat.

El_Frigo @4x4 • 8 februari 2019 10:47

Met je eerste zin ben ik het helemaal eens. Het tweede deel

geeft helemaal niets om privacy

is denk ik meer een gebrek aan besef van en kennis over wat dit, in de toekomst, voor je betekent dan een werkelijk bewust laconieke houding.
Dit is wat mij betreft echt een punt waar (nog) meer aandacht voor nodig is vanuit zowel ouders als overheid. Gelukkig gaat dit al stap voor stap iets beter. [bron]

bed76 @El_Frigo • 8 februari 2019 11:44

Gelukkig gaat dit al stap voor stap iets beter. [bron]

Je snapt de de ironie niet van je opmerking? Het gaat gelukkig beter met de privacy bewustwording, want ouders controleren massaal hun kinderen... huh

?? Dáár gaat het juist precies mis. Ouders moeten hun kinderen juist leren loslaten. Goed opvoeden, loslaten, fouten laten maken en bespreken. Zeker in de huidige tijd met leerlingvolgsystemen die elke stap van je puber op school inzichtelijk maken. De overheid stimuleert ons om onze kinderen te controleren. Met het oog op de toekomst; de komende generatie is het gewend en vind het al normaal dat elke stap van hun gevolgd wordt. Een heel erg eng idee, en het engste is nog dat mensen niet zien welk gevaar er achter schuilt.

El_Frigo @bed76 • 8 februari 2019 14:07

Misschien dat ik beter naar een meer directe bron had kunnen verwijzen dan naar het tendentieus getitelde artikel op nu.nl

Goed opvoeden, loslaten, fouten laten maken en bespreken.

Bevat zowel aspecten voor de ouders als de kinderen. Wat mij betreft moet je als ouder eerst zelf besef hebben en bewust zijn van de impact èn weten wat je kind doet, voordat je hem/haar daarin ook goed kunt ondersteunen.
HOE je dat doet is uiteraard ook afhankelijk van het kind maar je zult je eerst moeten verdiepen in wat je kind online bezighoudt, om vervolgens hier regelmatig met je kind over te praten.

darknessblade @HEY_DUDE • 8 februari 2019 09:15

of gewoon boetes van minimaal 50% van de totale jaaropbrengst vanaf dat het bedrijf bestaat.

en deze boete wordt dan uitgekeerd aan de mensen waarvan hun privacy is geschonden.

Verwijderd @darknessblade • 8 februari 2019 14:39

Boetes helpen te weinig want de aandeelhouder (de dividend gerechtigden die minder dividend krijgen doordat er iets minder winst is) moet daar voor opdraaien. Zij die de beslissing maken krijgen als nog de bonus voor de winst die op korte termijn werd gemaakt.

Wat er moet gebeuren zijn effectieve gevangenisstraffen voor kaderfuncties en zij die zulke beslissingen maakten.

Misschien wel na een waarschuwing of een fikse tik op de vingers. Zo blijft de kleine programmeur die een appje heeft gemaakt en een ongelukkige securityfout maakte buiten schot.

Maar de grote bedrijven die dit kei hard blijven doen zonder scrupules? Gewoon de kaderfuncties gevangenisstraffen geven. Na een paar voorbeelden in de EU markt zal je zien: plots en ineens zal de hele markt een heel pak braver worden.

lasharor @HEY_DUDE • 8 februari 2019 08:25

Het is wat dat betreft een beetje vergelijkbaar als je een klantenservice opbelt en dan vervolgens de mededeling krijgt dat het gesprek opgenomen kan worden.

Goed; in deze situatie krijg je die melding niet maar opzicht het kijken wat mensen met je app doen vind ik niet direct een schending van de privacy. Ze hadden wat mij betreft echter beter kunnen kiezen om een heatmap van je aanraakgedrag te maken in plaats van direct een screenrecording te maken.

A4-tje @lasharor • 8 februari 2019 09:18

Als je iemand te spreken krijgt mag je zeggen dat je niet wilt dat het gesprek opgenomen wordt. Ze zijn dan verplicht het niet op te nemen. Helaas weten veel mensen dit niet.

DigitalExorcist @A4-tje • 8 februari 2019 09:29

Dat zou ook aangegeven moeten worden. "Indien u dit niet wenst kunt u dit kenbaar maken aan het begin van het gesprek" dacht ik. In hetzelfde riedeltje als "Dit gesprek kan worden opgenomen voor trainingsdoeleinden".

Maar ja. Dan moet je niet bij Essent werken... :-)

https://www.bd.nl/binnenl...VYQkdFU5KIsdj8btIyjx_w2dM

Woodsnaps @lasharor • 8 februari 2019 08:35

Vertrouw mij op mijn woord dat “kan worden” beter vertaald wordt naar “zal worden” in het geval van gespreksopnames naar klantenservices.

GekkePrutser @Woodsnaps • 8 februari 2019 11:43

Klopt ja! Ik heb zelf aan dit soort systemen gewerkt. Een jaar of 5-10 geleden ging dit nog met speciale koppelkaarten aan de telefooncentrale, dus je had een beperkt aantal poorten om op te nemen, en daarmee een beperkt aantal gesprekken tegelijkertijd. Dus opnamen gingen steekproefsgewijs. Bovendien was opslag duur.

Tegenwoordig gaat alles via IP en kan je met een stream van een paar megabit een heel callcenter opnemen. Opslag kost ook niks meer. Dus meestal wordt gewoon alles opgenomen. Wel zijn de privacyrichtlijnen nu veel sterker dus je kan er wel redelijk van op aan dat het na een X aantal maanden ook echt weer weggehaald wordt. Vooral bij de grote bedrijven die echt audits krijgen op dit gebied.

Dusja, ga er maar vanuit dat alles opgenomen wordt. Is overigens niet altijd in je nadeel. Ik heb destijds regelmatig de vraag gehad een gesprek op te zoeken omdat de klant zei dat er A gezegd was en de medewerker zei B. Ook zijn er systemen die emoties kunnen herkennen, als je dan kwaad bent door een onredelijke houding is er een grote kans dat die call geflagd wordt voor het beluisteren door een supervisor.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 00:27]

YopY @HEY_DUDE • 8 februari 2019 10:02

Nou nee we vinden het niet normaal, en we vertrouwen (den?) er op dat het niet gebeurt, of dat het niet mogelijk is zonder onze expliciete toestemming - en Apple is daar over het algemeen best goed mee, beter dan Android iig die veel te makkelijk apps toegang gaf tot bijv. contacten en belgeschiedenis.

Ik ben blij dat Apple hier achteraan gaat, alhoewel het wel weer te laat is - Glassbox hadden ze kunnen (moeten?) detecteren bij het reviewproces.

YangWenli @HEY_DUDE • 8 februari 2019 11:57

Ik blokkeer al jaren alle reclame. In apps, in browser, in YouTube.

Verwijderd @HEY_DUDE • 8 februari 2019 14:07

Volgens mij staan er op computervredebreuk gevangenisstraffen. Wat ontbreekt is handhaving.

Computervredebreuk:

Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.

a) Is het geval (hun software doorbreekt de beveiliging van jouw telefoon), b) is het geval (heimelijke installatie van ongevraagde componenten door middel van de installatie van hun software), c) is het geval (hun software is vals, daar het niet heeft aangegeven dat het alles zou afluisteren), d) is het geval (de mensen die jouw afluisteren doen zich voor onder een valse hoedanigheid - zijnde ze doen zich voor als uitbaters van het legitieme deel van de app. Maar in werkelijkheid luisteren ze alles van je af).

De maximale straf voor computervredebreuk is 1 jaar gevangenisstraf of een geldboete van de vierde categorie (in 2012: 19.500 euro of 14.000 dollar). Echter indien de inbreker:

1. gegevens uit de computer vastlegt (voor zichzelf of anderen), of
2. de verwerkingscapaciteit van de computer aanwendt voor zichzelf, of
3. de ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer
dan neemt de maximumstraf toe tot vier jaren of een geldboete van de vierde categorie (zie Boete).

1. Is het geval daar ze de beelden opslaan op hun servers, 2. Is het geval daar ze de beelden analyseren en gebruiken om er data uit te exfiltreren en die dan ongevraagd door te verkopen (dat laatste is op zichzelf een apart strafbaar feit), 3. Kan mogelijk het geval zijn maar is vermoedelijk niet te bewijzen.

Het is wel zo dat ze op deze manier netbanking-beveiliging kunnen omzeilen, passwords en andere authenticatie kunnen exfiltreren, en zo verder. Plus zie 2., ze verkopen deze informatie aan derde partijen (mét winstoogmerk). Die derde partijen kunnen alsnog punt 3. gaan uitvoeren. Daar zijn zij echter wel hoofdelijk voor aansprakelijk dan, waarbij hun winstoogmerk als verzwarende omstandigheid moet gezien worden (ze maken er winst op om aan inbrekers informatie te verkopen over hoe er bij hun klanten kan ingebroken worden - informatie die ze bovendien onrechtmatig verkregen en verwerkt hebben, zie a,b,c,d,1 en 2).

M.a.w. moet er in deze vier jaar gevangenisstraf gegeven worden aan de uitbaters van deze 'apps'.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:27]

arjandijk162 @totaalgeenhard • 8 februari 2019 10:34

Dat zou hetzelfde zijn dat ik in een arbeidscontract elke voor mij al baas mogelijk gunstige voorwaarde voor ontslag of loonverlaging zou zetten en als jij hebt getekend mag ik het uitvoeren. Gelukkig is dat niet zo. Datzelfde geld voor privacy. Ik vraag me af of dit soort bedrijven hier op basis van de europese wetten nog op aangepakt kunnen worden. Ze lijken hier nu wel heel gemakkelijk mee weg te komen.

Verwijderd @arjandijk162 • 8 februari 2019 14:18

Er kunnen perfect bestaande EU privacy regels toegepast worden op en indien nodig nieuwe EU regels doorgevoerd worden om deze bedrijven en personen die hier achter zitten strafrechtelijk aan te pakken.

Daarna komt er een uitleveringsverzoek en/of indien de betrokken personen één voet op Europese bodem zetten gaan ze een Europese gevangenis in om hun straf uit te zitten, worden hun EU bezittingen en bankrekeningen in beslag genomen om eventuele schadeclaims en boetes mee te betalen.

Het zou zeker kunnen. Wat helaas ontbreekt is het lef van onze EU overheden om te handhaven in de techindustrie. Daardoor denkt de techindustrie dat alles mag.

andreetje 8 februari 2019 08:40

Apple had er zelf voor kunnen zorgen dat deze functionaliteit alleen op een bepaalde manier gebruikt kan worden. Het is een gebrek in het OS.

Keypunchie

Apple

@andreetje • 8 februari 2019 10:05

Het OS heeft volledige controle over wat wel en niet toegestaan is.

Technisch correct, maar te grofmazig om relevant te zijn. (Als het zo makkelijk was, dan hadden we ons nooit zorgen hoeven maken om malware)

Apple verleent een app toegang tot hebt platform. Het kan nog wat zaken afschermen wat ‘van Apple’ is, zoals de hardware (camera) en het adresboek.

In feite duwt Apple een app zoveel mogelijk in een geïsoleerde silo. Maar wat de app vervolgens binnen die silo doet, hebben ze veel minder controle op.

Als een gebruiker om 7:26 op toets B drukt en die informatie wordt naar een server gestuurd, hoe moet Apple het onderscheid maken tussen dat dat een pure log-entry (screen-recording) is of dat er een functionaliteit op die server wordt aangeroepen?

Laat staan dat gewoon allebei wordt gedaan.

Dat vereist een niveau van AI en deep-level pakket inspectie.

Het is een beetje van een autofabrikant verwachten dat hij een functie inbouwt dat de auto niet bij een bankoverval gebruikt kan worden. Die technologie is er gewoon niet.

Een app heeft fundamenteel per definitie kennis van zijn eigen inputs en outputs. Op abstract niveau is een app namelijk iets dat input omzet naar output. Geen OS kan daar technisch iets aan doen.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:27]

andreetje @Keypunchie • 8 februari 2019 10:16

Opname van een scherm maken is OS functie. Als het gebeurt, kan het OS controleren of de betreffende app toestemming heeft van de gebruiker. Zo nee, dan gaat de screenshot niet door.

Neem de ING app op een Android device. Die voorkomt dat je een screenshot kunt maken. Dus blijkbaar is het per app in te stellen.

jorde @andreetje • 8 februari 2019 12:17

Je verwart user/OS acties/functies met acties vanuit de app zelf. De ING app zelf kan prima 'screenshots' maken van zichzelf zonder dat daar de OS-level user-screenshot actie achter zit.

andreetje @jorde • 8 februari 2019 13:21

De ING app voorkomt dat je met een functie buiten de app een screenshot kunt maken.
Dan is het OS prima in staat om te voorkomen dat met een app een screenshot te maken is. Net zoals je per app kunt instellen of de microfoon, camera, contacten etc. mag gebruiken.

WhatsappHack

Apple
Privacy
Apple iOS

@andreetje • 8 februari 2019 14:16

Het maakt alleen veelal geen echte screenshots, maar opnames van zichzelf. De app genereert zelf wat er op het scherm moet komen te staan dus weet natuurlijk te allen tijde al wat er staat... Het enige dat ze hoeven te doen is dus hun eigen data loggen, er komt geen screenshot functie aan te pas. De app weet ook waar je op het scherm drukt, immers moet ie kunnen reageren op een tik op een knop of scrollen, dus die data kan mooi toegevoegd worden. Ook input en andere data wordt door de app verwerkt en weet de app vanaf. Zo kan een app je sessie “opnemen” in ruwe data en kun je dat analyseren en zelfs elders opnieuw afspelen door het te emuleren. Er komt geen screenshot of screenrecording aan te pas zoals je die kent als functies van het OS.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 00:27]

andreetje @WhatsappHack • 8 februari 2019 16:37

Het artikel gaat over screenshots.

WhatsappHack

Apple
Privacy
Apple iOS

@andreetje • 8 februari 2019 16:45

Het artikel gaat over schermopnames...

Daarnaast maakt het niet uit. Het principe achter de werking hiervan blijft exact hetzelfde. Of het nou een still produceert of bewegend beeld maakt geen verschil en verandert niets aan de uitleg.

andreetje @WhatsappHack • 8 februari 2019 17:16

Schermpooname is de Nederlandse vertaling van screenshot.

WhatsappHack

Apple
Privacy
Apple iOS

@andreetje • 8 februari 2019 18:45

Nee dat is het niet. Maar het is ook volstrekt irrelevant eigenlijk, het boeit niet.
Het is nu uitgelegd hoe het werkt, wat je ermee doet is verder aan jezelf.

andreetje @WhatsappHack • 8 februari 2019 18:54

Ok.

jorde @andreetje • 8 februari 2019 14:11

De ING app voorkomt dat je met gebruik van de ingebouwde iOS functie een screenshot kunt maken van de app als user. Dit is niet hetzelfde als een app die van zichzelf een 'screenshot' maakt.

iOS kan prima blokkeren dat een app de API van iOS niet kan gebruiken om de screenshot functie niet aan te kunnen spreken, zoals dat ook voor toegang tot de microfoon/camera/contacten etc gebeurd. Dit betekend nog steeds niet dat een app niet van zichzelf een 'screenshot' kan maken. Daar heb je namelijk de API van iOS niet voor nodig, je hoeft niets aan te spreken wat buiten de app zelf zit. Daar hoeft de app dus geen toestemming voor te vragen.

andreetje @jorde • 8 februari 2019 16:38

Dit probleem is volgens jou dus onoplosbaar. Lekker veilig, zo'n smartphone.

laptopleon @andreetje • 8 februari 2019 12:59

Een app met een formulier zoals hierboven weet precies wat er al in het lege formulier staat. Dus daar hoeft geen screenshot van gemaakt te worden. Verder hoeft de app alleen maar door te geven wat de gebruiker invult. Is ook geen screenshot voor nodig. Kortom hoe moet het OS dit tegenhouden? Voor het OS is het onmogelijk te weten of de app zich aan privacy regels houdt.

Keypunchie

Apple

@andreetje • 8 februari 2019 08:57

Oh ja? Hoe dan?

andreetje @Keypunchie • 8 februari 2019 09:44

Het OS heeft volledige controle over wat wel en niet toegestaan is.

jopiek @andreetje • 8 februari 2019 09:36

Tsja, je denkt dat het op alternatieve OS-en beter is? Op Android heb je als developer meer vrijheid en minder controle... Dus je kunt het de schuld van je OS vinden, maar er zijn ook apps die legitiem nut hebben: bijv. schermcontrole door ouders van hun minderjarige kinderen (wat je daar persoonlijk ook van vindt, ik ken ouders die dat willen).

andreetje @jopiek • 8 februari 2019 09:47

Tsja, je denkt dat het op alternatieve OS-en beter is?

Geen idee. Heb ik jou aanleiding gegeven om dat te vermoeden?

MD_DeeBee 8 februari 2019 08:21

Wat is het nut van het maken van schermopnames van gebruikers?

DigitalExorcist @MD_DeeBee • 8 februari 2019 08:33

Kijken waar gebruikers klikken, hoe lang ze ergens naar kijken/scrollen et cetera. "Voor het verbeteren van diensten" (lees: agressievere marketing kunnen toepassen)

aliberto @MD_DeeBee • 8 februari 2019 08:36

Bankgegevens of accountgegevens.
Op mijn Note9 kan ik geen screenshots maken i.c.m. ABN-Amro bank app, hoe graag ik het soms wil om documentatie / bewijsmateriaal vast te leggen. Wat ik dan doe is:
Open de browser en log dan in bij de bank. Screenshots zijn dan wel mogelijk.

Sicco92 @aliberto • 8 februari 2019 11:38

Volgens mij hebben banken liever dat je een pdf-bestandje maakt van individuele afschrijvingen. Ik ken de ABN-Amro app niet, maar in de apps van Rabo, ING, en ASN is het in ieder geval mogelijk om een individuele overschrijving op te slaan als pdf. Die kan je vervolgens delen. Alle gebruikelijke informatie die je nodig hebt als bewijs staat er in.

[Reactie gewijzigd door Sicco92 op 23 juli 2024 00:27]

4x4 @MD_DeeBee • 8 februari 2019 09:02

Data. Data. Data.

kaasboer09 8 februari 2019 08:43

Ik zou liever zien dat hiervoor een beveiliging vanuit iOS aanwezig was. Net zoals het geval nu is met microfoon toegang en locatie data.

Eupeodes

@kaasboer09 • 8 februari 2019 08:49

Zoals ik gisteren ook heb aangegeven wordt dat moeilijk. Het gaat er hier om dat apps hun eigen output opnemen en doorsturen naar een server. Een app geen toegang geven tot de eigen output wordt een wat lastig verhaal (de app genereert het immers zelf).

MenN @Eupeodes • 8 februari 2019 08:56

Maar ook al wordt het door de client geblokkeerd kunnen ze alsnog dit soort dingen op de server gaan tracken. De reden dat dit nu allemaal gebeurt op de client is omdat dit de makkelijkste manier is. Laad nog maar een 3rd party cookie erbij die dit regelt en klaar. Via de server is het wat meer gedoe, en daar hebben bedrijven geen zin in want je hebt nu die makkelijke manier waar nooit een probleem mee geweest is.

[Reactie gewijzigd door MenN op 22 juli 2024 23:44]

SimD 8 februari 2019 08:15

Toch een onderdeel van hun charme offensief. Apple toont naar de buitenwereld steeds en steeds meer als de “verdediger van privacy”

Kvuivbribumok @SimD • 8 februari 2019 08:33

Apple reageert alleen maar nu omdat er ophef over ontstaat. Die funcionaliteit bestaat dus al veel langer en word blijkbaar al heel lang door apps misbruikt.

Keypunchie

Apple

@Kvuivbribumok • 8 februari 2019 08:55

Die functionaliteit heet ‘logging’.

Een app moet naar een FS kunnen schrijven. Wat ze schrijven is lastig te controleren.

Die focus op Apple vind ik hier bizar. Het is toch schandalig dat al die app-developers (en niet de minste) zonder gene dit soort dingen inbakken?

Apple doet tenminste nog iets.

Het is een beetje boos worden op de politie, omdat mensen met 80 door een woonwijk rijden. Goed dat ze optreden, maar ze zijn niet de oplossing van het probleem.

De IT heeft een heel groot probleem waarbij we alles maar technisch willen oplossen. Dit leidt ook vaak tot de mentaliteit: als het niet technisch onmogelijk is, dan zal het wel mogen.

Iblies @Keypunchie • 8 februari 2019 11:31

...
De IT heeft een heel groot probleem waarbij we alles maar technisch willen oplossen. Dit leidt ook vaak tot de mentaliteit: als het niet technisch onmogelijk is, dan zal het wel mogen.

Moreel verwerpelijk maar er is geen wet die het verbied.

En in een ideale wereld zouden zowel ontwikkelaars en/of uitgevers netjes aangeven wanneer dat gebeurt, maar dan zou de weerstand te groot zijn, dus blijven ze in die schemerzone.

Wetgever kan op zich weinig doen. Ze kunnen verplichten een extra drempel opwerpen waarbij elke keer toestemming moet worden gevraagd, maar dat zal ook weinig uitmaken.

Op dit moment zijn het juist de bedrijven die hun eigen graf graven. Er wordt gerommeld met privacy, maar daarbij wordt nog steeds met omwegen info gruwelijk veel info verzameld.
Er blijft voor de wet een optie over, en dat is dat bedrijven alle info mbt persoonlijke info, IP-adres en IMEI gaan wissen op verzoek.

DigitalExorcist @Keypunchie • 8 februari 2019 09:32

Bij de politie hoor je altijd nog dat ze "beter boeven kunnen gaan vangen". Maar met 80 door een woonwijk is gewoon poging tot doodslag, puur en simpel. En als iedereen zich aan de verkeersregels zou houden zoals je geleerd hebt bij het krijgen van je rijbewijs, zou de politie véél meer tijd over hebben om ándere boeven te gaan vangen waar ze nu niet aan toe komen.

En ja ik wéét dat je verkeerspolitie en andere afdelingen hebt voor specifieke overtredingen. Maar het gaat me even om de grote pot met agenten in het algemeen. Maak de verkeerspolitie kleiner zodra het kan en breidt handhaving en andere onderdelen uit.

Ulas @Kvuivbribumok • 8 februari 2019 10:44

Wanneer reageren de andere fabrikanten?

burne @SimD • 8 februari 2019 09:27

Waar blijft de reactie van Google? Glassbox kan hetzelfde of meer op Andoid, met minder interactie met de gebruiker, dus daar is het net zo zeer een probleem.

iAR @SimD • 8 februari 2019 08:21

Je opmerking komt een beetje cynisch op me over. Charme offensief of niet, ik ben blij dat Apple nog enigszins een privacy voorvechter is. Google is dat absoluut niet, en helaas zijn dat de beide partijen waaruit we kunnen kiezen op de smartphone markt.

4x4 @iAR • 8 februari 2019 09:01

Je vergeet optie 3: geen smartphone nem
en .

Armin @iAR • 8 februari 2019 18:22

Google is dat absoluut niet, en helaas zijn dat de beide partijen waaruit we kunnen kiezen op de smartphone markt.

Mensen klagen altijd dat Apple zo duur is, maar dan weet je ook gelijk wat privacy waard is in monetaire zin. Het verschil tussen een Pixel 3 XL en XS Max is dus ruwweg (als in ore van grootte) wat de waarde is van wat Google over je verzameld en verkoopt aan adverteerders zeg ik altijd. Dus toch al snel een paar honderd euro.

iAR @Dutchredgaming • 8 februari 2019 08:29

Daarom zeg ik ook enigszins, Apple is geen filantropische instelling maar een commercieel bedrijf. Google is defacto de standaard zoekmachine. Maar je kunt ook DuckDuckGo instellen.

Wat is het probleem door zaken op te slaan in iCloud? Ik weet niet wat je met camping bedoelt... Je bedoelt het naakt-foto's incident. Tja, dat was toch wel een beetje eigen schuld he? Je zet 1. iCloud Photos zelf aan (dat is niet default, althans toen niet) en 2. je maakt gebruik van een simpel wachtwoord en 3. je gebruikt geen 2FA. 4. je maakt naakt foto's met punt 1, 2 en 3 in gedachten vind je dat prima.
En dan zeggen dat Apple een probleem heeft met privacy?

Daarnaast, als dit een fout van Apple was geweest, als in bug, dan is dat ook nog eens wat anders dan moedwillig jou data verkopen of gebruiken voor eigen gebruik/gewin.

[Reactie gewijzigd door iAR op 23 juli 2024 00:27]

DigitalExorcist @iAR • 8 februari 2019 08:32

The Fappening (in plaats van camping bedoel je denk ik?) was een akkefietje een paar jaar geleden waarbij naaktfoto's en -filmpjes van celebrities uitlekten omdat ze niet snugger genoeg bleken om goeie wachtwoorden te verzinnen. En sowieso naaktfoto's danwel filmpjes van zichzelf moesten maken om één of andere reden.

Het antwoord van Apple was daarop het pushen van 2FA. Telkens als ik nu ergens inlog op iCloud.com krijg ik een code op een ander Apple-device te zien die ik op die website in moet vullen als een soortement van token.

iceheart @DigitalExorcist • 8 februari 2019 14:15

Fappening was niet alleen een kwestie van slechte wachtwoorden iirc maar juist ook heel erg van gokbare security questions voor account'herstel'.

DigitalExorcist @iceheart • 8 februari 2019 14:22

Tomatoes, tomaaaahtoes. Hoe dan ook kun je dat vooral de eindgebruikers zelf kwalijk nemen.

iceheart @DigitalExorcist • 8 februari 2019 14:48

Ben ik niet meer je eens. Slecht wachtwoord is gewoon dom, dat mag iedereen zich inderdaad wel realiseren inmiddels. Security questions worden min of meer opgedrongen door allerlei online diensten en om van gebruikers te verwachten dat ze maar beter moeten weten dan dat is imo niet redelijk. De dienst zou inmiddels beter moeten weten, potjandorie, maar je kunt niet van elke gebruiker verwachten dat ze beter weten dan dienstverleners die security wél in hun pakket zouden moeten hebben.

junjur @DigitalExorcist • 8 februari 2019 08:59

Op zich mooie reactie, maar het probleem is niet dat mensen foto’s van zichzelf maken (al dan niet naakt).

DigitalExorcist @junjur • 8 februari 2019 09:05

Allicht niet. Maar zoals, naar veluidt, een van de oprichters van Google ooit gezegd schijnt te hebben: "als je bang bent dat iets tegen je gebruikt wordt, zou je het misschien niet moeten doen". Zo ongeveer dan.

Dat je je voordeur een keer niet op slot draait wil ook niet zeggen dat anderen zomaar in mogen breken, dat snap ik uiteraard ook. De gelegenheid maakt de dief zeggen ze ook wel, en natuurlijk is dat fout aan alle kanten, en ik ben ook blij dat die 2FA er inmiddels ook is en er veel meer beveiligingen toegevoegd zijn.

Maar ja. Voordat we 'de mensheid' daarvan hebben overtuigd is het misschien maar beter om geen héle gevoelige dingen het internet op te slingeren.

Strebor

@junjur • 8 februari 2019 12:41

Stel je voor dat je een 3rd party foto app gebruikt, laat ik hem even "Beautiful portraits" noemen, waarmee je hele mooie portretfoto's kan maken, wellicht zelfs een nudie. Ja, er zijn veel mensen die dit doen.

Stel je voor dat de Beautiful portraits app Glassbox gebruikt...

Kenhas @DigitalExorcist • 8 februari 2019 11:27

Zo kan je inderdaad Apple goedpraten. In mijn ogen ligt de fout (alleszins gedeeltelijk) bij Apple door er niet voor te zorgen dat inloggen geblokkeerd werd na x aantal pogingen. Je mag nog een gemakkelijk paswoord hebben, de kans dat ze het in 5 keer juist gaan hebben, is zeer klein.

Het antwoord van Apple was dus niet enkel 2FA maar ook het instellen van een maximum aantal pogingen

Verwijderd @Dutchredgaming • 8 februari 2019 08:34

De default zoekmachine is Google, niet de startpagina. Het kost je ongeveer vijf seconden om dat te veranderen in DuckDuckGo.

ShellGhost @Dutchredgaming • 8 februari 2019 08:29

Want Apple kan iets doen tegen makkelijke wachtwoorden?
Dat was namelijk een van de twee manieren waarop hackers de accounts konden binnen komen.

0vestel0 @ShellGhost • 8 februari 2019 08:41

Ja dat kunnen ze. Geen zwakke wachtwoorden toestaan. Wachtwoord verplicht wijziginge naar een bepaalde tijd. Maar beter is gewoon.2 factor authenticatie verplichten. Het liefst via een app of trusted device. Problem solved.

ShellGhost @0vestel0 • 8 februari 2019 09:30

Verplicht wijzigen lijdt juist tot zwakke wachtwoorden. Dus dat is een no-go.
En wat versta jij onder geen zwakke wachtwoorden?

kozue @0vestel0 • 8 februari 2019 09:33

2FA verplichten is een goede manier om een deel van je klanten weg te jagen. Ik zit er in ieder geval niet op te wachten. Ik wil mijn mogelijkheid om in te loggen op websites niet koppelen aan een app op een telefoontje. Ik wil ook mijn telefoonnummer niet geven aan partijen die daar niets mee te maken hebben. Een smartphone is een hulpmiddel, een tool, eigenlijk net als een hamer, en die hoeft geen kritiek centraal onderdeel van mijn leven te worden. De huidige enge trend om steeds meer afhankelijkheid te creëren op telefoons en apps doe ik niet aan mee.

En ja, ik weet dat 2FA beter is voor de veiligheid van je account, maar het is altijd een afweging tussen meerdere factoren. Zo belangrijk vind ik de meeste accounts niet (ik doe al helemaal niet aan social media), maar de nadelen van 2FA vind ik wél belangrijk, die wegen voor mij zwaarder dan een beetje extra veiligheid. Ik houd het wel op redelijke wachtwoorden.

DigitalExorcist @kozue • 8 februari 2019 14:24

Je telefoonnummer uitdelen aan partijen die daar niks mee te maken hebben hoeft ook niet. Maar als jij accounts van bepaalde diensten veilig wil houden hebben die juist wél iets met je te maken.

Verder: voor jou is een hamer geen essentieel onderdeel van je leven, maar als timmerman is het je core business.

Alles is relatief. Als jij iets niet belangrijk vindt, prima - maar voor anderen is dat wel zo. En als jij toevallig mij ooit in je contactenlijst op je telefoon hebt toegevoegd vind ik het niet meer dan normaal dat je ook daar zéér zorgvuldig mee omgaat. En dan zijn 2FA-systemen wel degelijk van belang voor *mijn* gegevens die jij hebt.

kozue @DigitalExorcist • 9 februari 2019 13:27

Dat anderen iets wel belangrijk vinden, heb ik natuurlijk niets mee te maken. Dat er mensen zijn die hun brood verdienen met een hamer maakt het voor mij nog geen noodzakelijke tool. Op dezelfde manier wil ik ook geen smartphoneshit opgedrongen worden omdat er andere mensen zijn die een paar handige functies belangrijker vinden dan hun privacy en er geen probleem mee hebben om hun hele leven aan 1 apparaatje te knopen.

Verder hoef je je niet zo’n zorgen te maken over of mensen die jou in hun contacten hebben staan wel of niet 2FA gebruiken. De meeste ongewenste gegevensoverdrachten gaan namelijk via apps waar helemaal niets van beveiliging op zit. Zoals die ogenschijnlijk goed bedoelde apps van winkels of andere commerciële bedrijven. Zelfs als iemand 3FA of 4FA zou gebruiken om z’n telefoon te beveiligen, is die beveiliging in 1 klap weg door bv het installeren van Facebook apps zoals Facebook, Whatsapp of Instagram. Die trekken gewoon je adresboek leeg, 2FA of niet. Ik denk dat mijn telefoon, waar helemaal niets van Google, social media of winkels op staat een stuk beter om zou gaan met jouw telefoonnummer dan de appverslaafde massa die 2FA aan hebben gezet omdat Google/Apple beweert dat ze dan veilig zijn.

DigitalExorcist @Dutchredgaming • 8 februari 2019 08:30

De startpagina van Safari is standaard hun Top Sites met meestbezochte pagina's meen ik. (Of misschien alleen bij mij omdat ik al jarenlang geen andere startpagina ingesteld heb....)

Binnux 8 februari 2019 08:40

Zou het gebruik van Pi-hole dit kunnen tegen gaan? Als opnames gaan naar Glassbox zou je immers deze kunnen blokkeren.

Sircuri @Binnux • 8 februari 2019 08:57

Ligt er aan waar de opnames naartoe gaan. Als deze direct naar Glassbox worden gestuurd wel, maar anders niet.

Keypunchie

Apple

@Binnux • 8 februari 2019 08:59

Alleen als ze dns-resolutie doen en/of het verkeer niet proxy’en. Dat glassbox is vooral een framework, dus kan ook zijn dat de data helemaal niet naar hun gaat.

Overigens, tenzij je al je iPhone verkeer VPN’t naar je eigen netwerk, zal je nogal vaak op netwerken buiten je Pi-hole zijn.

MenN 8 februari 2019 08:07

Hoop dat ze ook tegen dit soort praktijken op het web gaan optreden. Daar is dan meer regel dan uitzondering dat er schermopnamens gemaakt worden.

Verwijderd @MenN • 8 februari 2019 08:35

Kun je daar eens een bron of voorbeelden bij doen? Ik bedoel dat niet kritisch, vraag het uit nieuwsgierigheid.

Eupeodes

@Verwijderd • 8 februari 2019 08:38

Ik verwijs daarvoor graag naar een draadje van gisteren S_olis in 'nieuws: 'Apps op iPhone maken opnames van gebruik en sturen die do...

MenN @Verwijderd • 8 februari 2019 08:54

Schermopnames is 1 van de tools die bedrijven gebruiken om te meten hoe hun website presteert.
Goedkoop en makkelijk, want er zijn honderden partijen die dit soort tools aanbieden.

Als je meer hierover wilt weten zou je eens moeten googlen op Conversion Rate Optimisation. En bekijk de werkwijze en tools die bedrijven hiervoor gebruiken.

kozue @Verwijderd • 8 februari 2019 09:46

Volgens mij kun je niet stiekem opnames maken vanuit een browser. Dat soort functies (screen capture, webcam, mic, etc) vereisen toestemming van de gebruiker en tonen icoontjes terwijl het actief is.
Wat hij denk ik bedoelt is het opslaan van input events in bv heatmaps zoals clicktale, etc. Daar kun je eenvoudig vanaf komen met content blockers, want die scripts komen van derde partijen, en dit is dus weer een van de vele redenen (naast bv ads, malware en tracking) waarom niemand het web op zou moeten gaan zonder adblocker.

wica 8 februari 2019 08:34

Er is ophef en Apple gaat optreden.
Ik dacht dat Apple zo'n strikte controle heeft op de apps in hun store.

Craften @wica • 8 februari 2019 08:56

Haha, deze opmerking was alweer verwacht.

iOS apps hebben slechte dingen erin!! - Apple treed niet op!!

Apple treed op - Ik dacht dat apple zo streng was!!

Tuurlijk had dit al in de controle kunnen zitten, maar nu weten ze er van en gaan ze er wat aan doen, wat wil je nog meer? Dat ze persoonlijk naar je bellen om excuus aan te bieden?

wica @Craften • 8 februari 2019 09:01

Zal het anders zeggen,waarom is deze functie geen permission, welke jij als gebruiker aan moet zetten?

WhatsappHack

Apple
Privacy
Apple iOS

@wica • 8 februari 2019 12:35

Omdat apps niet kunnen functioneren zonder iets op je scherm te zetten en input te gebruiken (dus standaard zou je dan toestemming geven... Nutteloze pop-up.), en als het iets op je scherm kan zetten en de input kan registreren dan kan het dus ook opnemen welke handelingen je verricht.

Sircuri @wica • 8 februari 2019 08:48

Er is ook een strikte controle. Maar als dit soort zaken niet opgenomen zijn in de controle, wordt er ook niet tegen opgetreden. Nu erkennen ze dit probleem en passen dus hun procedure aan. Alle volgende apps die aangeboden worden in de store, zullen dus vanaf nu moeten voldoen aan die regels.

gielie 8 februari 2019 08:43

Netjes dat Apple zo snel reageert maar ik kan mij niet van de indruk onttrekken dat Apple al lang op de hoogte was van deze optie. Het bedrijf achter glassbox is speciaal voor spionage opgericht. En hoe weet de normale gebruiker dat dit niet meer gebeurd?

Mundatin 8 februari 2019 09:09

Goed bezig Apple, echter vind ik het wel raar dat dit niet veel eerder door Apple is opgepakt. Als ik denk aan Apple dan denk ik aan 'privacy' en dat een app zomaar schermopnames kan maken, vind ik nou niet heel erg privacy-vriendelijk, juist waar Apple al zo lang voor staat.

Wat nou als je lekker 'encrypted' aan het Whatsappen bent en Facebook neemt gewoon schermafbeeldingen, dan heeft die hele beveiliging van WhatsApp toch geen zin?

Verwijderd @Mundatin • 8 februari 2019 09:22

Daar dacht ik dus ook precies aan. Waarom zou een bedrijf als Facebook een e2e app aanbieden waaruit ze weinig informatie kunnen halen?

jopiek @Mundatin • 8 februari 2019 09:34

Het is vrij lastig te traceren, dat is denk ik de reden. Screenshots maken in Swift is vrij eenvoudig: https://stackoverflow.com...creen-screenshot-in-swift

Doorsturen ook. Apple is vaak ook wel pas reactief als iets een probleem blijkt en dan zullen ze iets in hun app review proces moeten bakken waardoor dit eenvoudig gecheckt kan worden tijdens reviewen van je app of updates.

Overigens: De alternatieve aanbieders checken het ook niet, daar zal het zeker ook gebeuren... Ik kan me voorstellen dat voor legitiem gebruik er een manier vanuit Apple zelf zal komen en dat je die onder voorwaarden met gebruiken en als je er omheen werkt dat je dan sancties krijgt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (103)

Sorteer op:

Weergave: