Apple wil dat appmakers vanaf 2024 api-gebruik toelichten vanwege fingerprinting

Apple wil dat appontwikkelaars vanaf de lente van 2024 aangeven waarom ze toegang willen hebben tot bepaalde api's. Zo wil het bedrijf voorkomen dat de api-toegang wordt misbruikt om mensen te tracken met fingerprinting.

Het bedrijf heeft een lijst van dertig api's gepubliceerd waarvoor vanaf de lente van 2024 een required reason geldt. Dit betekent dat de appontwikkelaar in een privacy-manifestbestand moet aangeven waarom hij of zij die api wil gebruiken. Het is voor apps op Apple-platforms al verboden om api's te misbruiken voor fingerprinting, maar met de nieuwe maatregel wil Apple misbruik verder tegengaan.

Voorbeelden van required-reason-api's zijn api's die aangeven hoeveel opslagruimte een apparaat nog heeft, welk toetsenbord er wordt gebruikt, welke standaardapps een gebruiker heeft ingesteld, bestandstimestamps en informatie over hoelang een apparaat aanstaat sinds de laatste keer dat het is gestart.

Ontwikkelaars mogen deze api's niet voor andere doeleinden gebruiken dan in het privacy-manifestbestand wordt aangegeven en mogen ze in het geheel niet voor tracking gebruiken. Apps waarvan het gebruik van required-reason-api's niet wordt toegelicht, worden vanaf de lente van 2024 niet meer toegelaten tot de App Store.

Bijna twee jaar geleden bleek dat de meeste populaire apps gebruikers trackten met fingerprinting. De apps verzamelen daarbij informatie over bijvoorbeeld de beschikbare opslagruimte, het volumeniveau, het IP-adres en de gekozen toegankelijkheidsopties om zo een profiel van een gebruiker te maken. Met deze gegevens kunnen gebruikers getrackt worden en kunnen adverteerders ze gerichte advertenties tonen. Met fingerprinting omzeilen apps antitrackingfuncties, zoals de App Tracking Transparency-functie, die Apple in april 2021 uitbracht.

IT-banen

Reacties (76)

xoniq 28 juli 2023 15:12

Prima, enige wat ik zie wat er tussen staat, wat nog wel eens gebruikt wordt in mijn apps:

UserDefaults

Verder zijn al die API's voor een doorsnee app niet nodig zonder reden.

Edit,
Gelijk die negativiteit in de reacties. Vroeger konden toestellen getracked worden met een device ID, nu gebruiken ze een combinatie van data om te tracks, deze maatregel zorgt ervoor dat een random app niet perse hoeft te weten hoe lang je telefoon al aan staat, hoeveel opslag je hebt, hoeveel opslag er vrij is, of wanneer een bestand op het bestands systeem voor het laatste geüpdatet is, of juist aangemaakt is.

Dit is niet 'kleine developer' pesten, zolang een developer niks met bestandsbeheer doet, heeft die überhaupt niks met die API's te maken, en veranderd er helemaal niks.

[Reactie gewijzigd door xoniq op 27 juli 2024 14:23]

Waswat @xoniq • 28 juli 2023 16:18

> zolang een developer niks met bestandsbeheer doet

Dit zijn toch juist veel apps?

xoniq @Waswat • 28 juli 2023 16:19

En die hebben dan een geldige reden, geven die reden op, en klaar.

Waswat @xoniq • 28 juli 2023 16:20

Ja idd da's prima wat mij betreft. Dacht dat je doelde dat er weinig apps zijn die iets met bestandsbeheer doen.

xoniq @Waswat • 28 juli 2023 16:34

Nee ik bedoelde meer, er zijn veel apps die daar niks mee nodig hebben, en dat wel zonder problemen kunnen uitlezen, en daarmee dus unieke kenmerken van bestanden kunnen achterhalen en zo fingerprinten. Alleen apps die daadwerkelijk iets met bestanden doen hebben een geldige reden. En zo wordt het hele eindeloze verlangen naar tracking weer ietsjes minder.

Werelds

@xoniq • 28 juli 2023 15:53

Prima, enige wat ik zie wat er tussen staat, wat nog wel eens gebruikt wordt in mijn apps:

UserDefaults

Verder zijn al die API's voor een doorsnee app niet nodig zonder reden.

Echter is dat ook meteen een API waar je al vrij snel gebruik van wilt maken zodra je iets van instellingen hebt. Bizar dat ze dit doen. Zorg er dan voor dat UserDefaults gewoon sandboxed is, in plaats van zo'n wijd net uit te werpen.

Luminair @Werelds • 28 juli 2023 16:29

UserDefaults is iets uitgebreider dan je het nu schetste. Gekopieerd van mijn andere comment: Je hebt voor UserDefaults verschillende stores/suites die je kunt gebruiken. Één van dat soort stores is een group-wide store, die ook andere apps (die door jou zijn ontwikkeld) in kunnen zien. Je deelt dan data tussen je eigen apps (of andere targets, zoals een widget), en kunt daarmee tracken.

Werelds

@Luminair • 28 juli 2023 22:23

Klopt, maar dat is m'n punt juist

Er zijn andere methodes om instellingen op te slaan, maar het fijne aan UserDefaults is juist dat het 0,0 werk vergt om die gegevens gesynchroniseerd te houden binnen je eigen app. Ik zou daar graag "en bijbehorende widgets" bij zetten, maar door de manier waarop dat werkt, zijn widgets zo'n beetje losstaande apps. En dat is waar het probleem zit. UserDefaults zouden niet tussen verschillende bundle IDs gedeeld moeten worden, tenzij expliciet aangegeven - in welk geval je inderdaad aan zou moeten geven waarom. Dat betekent echter ook dat widgets er ook niet meer bij komen.

Aangezien het gros van de devs nu toch aan moet gaan geven waarom ze het gebruiken (wij ook, doen er niets mee tussen verschillende apps, allemaal app-specifiek), hadden ze het net zo goed gewoon in een gesloten doos kunnen stoppen. Laat diegenen die het misbruikten maar het vinkje aan zetten om het open te stellen en vervolgens uitleggen.

bun00b @xoniq • 28 juli 2023 15:24

Zijn deze defaults niet sowieso opgeslagen per app? Of zijn er gedeelde parameters/kan je defaults van andere apps ook ophalen? Zie anders niet in waarom deze ook in de lijst staat.

Luminair @bun00b • 28 juli 2023 16:27

Soort van. Je hebt voor UserDefaults verschillende stores/suites die je kunt gebruiken. Één van dat soort stores is een group-wide store, die ook andere apps (die door jou zijn ontwikkeld) in kunnen zien. Je deelt dan data tussen je eigen apps, en kunt daarmee tracken.

biteMark @xoniq • 28 juli 2023 16:03

Is toegang tot de agenda inmiddels al beveiligd? Ik meen me te herinneren dat daar tot in elk gevaal een paar jaar geleden geen toestemming voor nodig was

xoniq @biteMark • 28 juli 2023 16:04

Yes, kan je zien bij instellingen > privacy en beveiliging. Daar zie je de protocollen waar je toestemming voor moet vragen. Net als locatie, microfoon, camera, contact, agenda's, foto's, health, etc.

Zo heb bijvoorbeeld iets als TikTok geweigerd, maar Formula 1 toegang gegeven (geldige reden; de huidige race schema intact houden in mijn agenda)

[Reactie gewijzigd door xoniq op 27 juli 2024 14:23]

poehee @xoniq • 29 juli 2023 14:48

Kunnen ze dan alleen pushen (en eventueel hun eigen agenda items wijzigen/verwijderen)?
Of hebben ze dan ook toegang tot andere agenda items (waar ze niets mee te maken hebben).

xoniq @poehee • 29 juli 2023 22:17

Dat laatste. Agenda toegang doe je alleen met apps waarvan je weet dat ze iets legitiem moeten kunnen doen. Zoals een alternatieve agenda app, of een mail app, of een app zoals F1 die de schema’s in je agenda zet. Daarom weiger ik elke andere app die iets met agenda wilt doen.

jos707 @xoniq • 29 juli 2023 10:29

Als dit ook voor UserDefaults gaat gelden is het einde zoek. UserDefaults wordt naar schatting gebruikt door 80% van alle bestaande apps, het is niet meer dan lokale opslag om bijvoorbeeld een instelling te bewaren die de gebruiker nadien niet meer opnieuw hoeft in te stelllen. Helemaal bizar dat de app nu hiervoor ook toestemming moet vragen aan de gebruiker aangezien dit geen enkel beveiligingsrisico inhoudt.

De vraag blijft maar of dit de gebruikservaring ten goede komt als de gebruiker voor elke bazale functionaliteit toestemming moet geven.

Martijntj @jos707 • 31 juli 2023 14:44

Wellicht het artikel opnieuw lezen: er wordt geen toestemming gevraagd aan de gebruiker, maar je bent als developer verplicht om uit te leggen aan Apple voor welk doeleinde je die API-call moet mogen maken.

CAPSLOCK2000

Privacy

28 juli 2023 16:36

Ik vind het weer een comlexe situatie. Van de ene kant vind ik het heel goed dat Apple iets doet tegen fingerprinting. Van de andere kant komt er steeds meer controle over een enorm deel van de softwaremarkt te liggen bij één bedrijf.

Het is een beetje de paradox van de "goede dictator". Alleenheerschappij is op een aantal punten heel efficient. Zolang het goed gaat is het geweldig. Maar geen enkele dictator heeft dat ooit volgehouden. De wereld is te groot en te complex en niemand kan alles weten of overzien. Uiteindelijk gaat het fout met alle dictators.

Ik geloof dat Apple goede bedoelingen heeft en het beste voorheeft met de gebruikers. Toch voel ik me niet prettig bij de enorme hoeveelheid controle die ze hebben.

Parrotmaster @CAPSLOCK2000 • 28 juli 2023 19:41

Gebruik hun product dan niet?

FONfanatic @CAPSLOCK2000 • 28 juli 2023 17:29

Hoezo is Apple een dictator als je zelf vrij bent niets met dat bedrijf van doen te willen hebben?

CAPSLOCK2000

Privacy

@FONfanatic • 29 juli 2023 09:58

Hoezo is Apple een dictator als je zelf vrij bent niets met dat bedrijf van doen te willen hebben?

1. Dat het niet mijn dictator is verandert niks aan situatie. Noord-Korea heeft een dictator waar ik persoonlijk niet onder val. Maar het is wel een dictator.

2. Als je iets met software development wil in deze wereld kun je tegenwoordig niet om mobiele telefoons en apps heen. Dat betekent dat je ook eigenlijk niet om Apple heen kan als je een groot en succesvol product wil hebben. Ja, er zijn een paar tegenvoorbeelden van grote bedrijven die al een sterke marktpositie hadden voor ze in conflict met Apple kwamen. Dat zijn uitzonderingen, de meeste developers kunnen zich dat niet permitteren. Als jij wil dat jouw slimme lampen de wereld gaan veroveren dan moet je ook een app voor iOS hebben (en natuurlijk ook voor Android).

FONfanatic @CAPSLOCK2000 • 30 juli 2023 18:16

Volgens mij valt er gewoon met Apple overleg te plegen. Met een dictator daarentegen ...

CAPSLOCK2000

Privacy

@FONfanatic • 30 juli 2023 20:43

Volgens mij valt er gewoon met Apple overleg te plegen. Met een dictator daarentegen ...

Natuurlijk kun je wel met een dictator overleggen, maar alleen als de dictator daar zin in heeft. Net zoals je met Apple kan overleggen maar alleen als Apple er zin in heeft, het is geen recht.

FONfanatic @CAPSLOCK2000 • 31 juli 2023 01:49

Aan een dictator kun je ontkomen door te vluchten, aan Apple door voor een ander merk te kiezen.

Dat jij niet daarvoor kiest is enkel jouw probleem.

CAPSLOCK2000

Privacy

@FONfanatic • 31 juli 2023 09:49

Aan een dictator kun je ontkomen door te vluchten, aan Apple door voor een ander merk te kiezen.

Mooi, dan zijn we het eens over mijn vergelijking.

Dat jij niet daarvoor kiest is enkel jouw probleem.

Ik gebruik het niet maar de invloed van Apple op de softwaremarkt is veel groter dan hun eigen producten, dat is nu net het hele probleem.

FONfanatic @CAPSLOCK2000 • 31 juli 2023 12:15

Dat is een tijdelijk probleem. Er is nl. ook nog de wet van de remmende voorsprong. Apple zal zelfgenoegzaam worden.

OhMyGod @CAPSLOCK2000 • 28 juli 2023 17:15

Het ene kun je niet los zien van het andere. Ik vind dat je gelijk hebt maar ik vertrouw Apple daarin een stuk meer dan advertentie bedrijf Google.

well0549 @OhMyGod • 28 juli 2023 20:46

Hoezo, volgens mij heeft Apple tracking uit gezet zodat ze zelf die advertentie centen kunnen opstrijken.... Want Apple zelf weet natuurlijk wel alles..

Dit wordt Apple kennende natuurlijk te gelde gemaakt

YopY @CAPSLOCK2000 • 29 juli 2023 00:13

En ik voel me niet prettig bij apps die fingeprinting gebruiken om mij en mijn gedrag over meerdere apps te volgen om het te verkopen aan de hoogste bieder. Ik ben blij dat Apple daar ook zo over denkt.

laurxp @CAPSLOCK2000 • 29 juli 2023 02:51

De oplossing is simpel, nietwaar? Ontkoppel het software-monopolie van de hardwareverkoop en verplicht het toelaten van 3rd-party app stores en sideloaden.

Wil je een veilige en vertrouwde app? Dan installeer je van de Apple App Store. Wil je een app waar Apple geen fan van is? Dan gebruik je een andere app store.

skatebiker @laurxp • 31 juli 2023 19:29

Dan gebruik je een andere app store.

O ja ? In iOS kun je dat vergeten. En dat openen van de iOS app market in de EU moet ik nog zien of dat doorgaat.

familyman @CAPSLOCK2000 • 29 juli 2023 09:30

Die controle zorgt er nu net voor dat ze op deze manier kunnen pushen op privacy.

De schaalgrootte zorgt ervoor dat anderen daarin wel mee moeten.

Je eigen klachtje tegen meta komt echt niet binnen hoor.

Wat overblijft is vertrouwen in wat apple doet met de data die zij zelf krijgen. Ik heb toch sterk de indruk dat als je naar de cijfers kijkt (en de prijzen/bronnen), dat dit niet gebruikt wordt voor privacy schendende zaken.

CAPSLOCK2000

Privacy

@familyman • 29 juli 2023 10:11

Je hebt op al die punten gelijk maar het pijnpunt zit bij vertrouwen. Daar kun je niet van uit gaan. Alles wat onder goed vertrouwen gedaan wordt kan ook weer afgebroken of omgedraaid worden.

We moeten Apple eigenlijk blind vertrouwen terwijl dat bedrijf steeds meer macht krijgt. Nu lijkt dat goed te gaan maar zeker weten doen we het niet, er is geen toezicht of controle op. Het kan ook op ieder moment veranderen. De volgende directeur kan een heel andere kijk op zaken hebben.

We kunnen er gewoon niet fundamenteel op vertrouwen dat bedrijven zich altruistisch opstellen. Sterker nog, ik denk dat het veel verstandiger is om er van uit te gaan dat bedrijven alleen aan hun eigen belang en winst denken. Dan moet je er dus ook rekening mee houden dat we zelf moeten opkomen voor onze eigen rechten.

Ik noem de huidige situatie wel eens feodalisme. Er zijn een paar grote koninkrijken (MS, Google, Apple) en als je in zo'n koninkrijk woont ben je helemaal gebonden aan de wil van de koning. Je kan naar een ander koninkrijk verhuizen maar daar val je onder een ander koning. Ieder koning heeft z'n eigen nukken maar overal zal je belasting moeten betalen. In het ene land met geld, in het andere land met graan en in het derde land met arbeid. In ruil daarvoor krijg je een vage "bescherming" maar het is aan de koning om te bepalen wat dat precies is. In geen van die drie landen is er enige vorm van inspraak of onafhankelijk rechtspraak voor de bevolking. Het enige "recht" dat je hebt is je huis achterlaten met alle spullen die je ooit hebt gekocht en met alleen een klein koffertje persoonlijke bezittingen vluchten naar een andere koninkrijk waar je alles opnieuw moet kopen en een nieuw leven moet opbouw.

Anoniem: 1322 @CAPSLOCK2000 • 31 juli 2023 13:32

We moeten Apple eigenlijk blind vertrouwen terwijl dat bedrijf steeds meer macht krijgt.
Ik vind het altijd bijzonder. Apple is letterlijk het enige grote tech bedrijf dat zich inzet voor privacy en alsnog wordt erover geklaagd.

Laten we je stelling eens aanpassen: Apple doet als enige iets aan privacy waardoor dat bedrijf steeds meer macht krijgt.....

Sterker nog, ik denk dat het veel verstandiger is om er van uit te gaan dat bedrijven alleen aan hun eigen belang en winst denken.
Hier is een idee: Why not both? Waarom zou je niet de privacy van je gebruikers beschermen (klant blij) terwijl jij een premium voor je apparaten vraagt (Apple blij). Tevens zit je je concurrent (Google) hiermee ook nog eens dwars (dubbel winst voor Apple).

We kunnen er gewoon niet fundamenteel op vertrouwen dat bedrijven zich altruïstisch opstellen.
Ik ben het helemaal eens met je verhaal dat bedrijven dit gesprek / onderwerp niet zouden moeten voeren / leiden, dat zou door de overheid moeten gebeuren. Maar we weten ook dat de overheid de privacy van de burger niet van enig belang ziet.
nieuws: NOS: cookies van UWV trackten niet-ingelogde bezoekers langer dan ged...
nieuws: Europese Commissie neemt opvolger van datadoorgifteverdrag Privacy Sh...

Ik vind het jammer dat we als burgers niet Apple mogen aanmoedigen voor het doen van een goed iets... Van letterlijk ieder ander bedrijf zal je het niet zien.

CAPSLOCK2000

Privacy

@Anoniem: 1322 • 31 juli 2023 15:22

We moeten Apple eigenlijk blind vertrouwen terwijl dat bedrijf steeds meer macht krijgt.
Ik vind het altijd bijzonder. Apple is letterlijk het enige grote tech bedrijf dat zich inzet voor privacy en alsnog wordt erover geklaagd.

Laten we je stelling eens aanpassen: Apple doet als enige iets aan privacy waardoor dat bedrijf steeds meer macht krijgt.....

Ik snap je punt, Apple is inderdaad de kwaadste niet, maar dat maakt de situatie nog niet ideaal.

Sterker nog, ik denk dat het veel verstandiger is om er van uit te gaan dat bedrijven alleen aan hun eigen belang en winst denken.
Hier is een idee: Why not both? Waarom zou je niet de privacy van je gebruikers beschermen (klant blij) terwijl jij een premium voor je apparaten vraagt (Apple blij). Tevens zit je je concurrent (Google) hiermee ook nog eens dwars (dubbel winst voor Apple).

Als bedrijf doe je dat niet als je denkt dat er meer te verdienen is. Google en MS hebben duidelijk gekozen voor het bedrijfsleven en niet voor de consument. Apple kiest nog wat vaker voor de consument maar echt niet altijd. Als ze dat echt deden hadden ze de beste adblocker en geen DRM of andere kopieerbeveiliging waar consumenten niks aan hebben. Ook Apple maakt afwegingen tussen de belangen van consumenten en van bedrijven.

We kunnen er gewoon niet fundamenteel op vertrouwen dat bedrijven zich altruïstisch opstellen.
Ik ben het helemaal eens met je verhaal dat bedrijven dit gesprek / onderwerp niet zouden moeten voeren / leiden, dat zou door de overheid moeten gebeuren. Maar we weten ook dat de overheid de privacy van de burger niet van enig belang ziet.

Ja, maar daar heb ik nog een beetje invloed op. Ik kan stemmen (of zelfs een eigen politiek partij oprichten) en ik kan naar de rechter. Het is niet veel, maar het is meer vrijheid en flexibiliteit dan er is in de markt voor mobiele besturingssystemen. Bij bedrijven heb helemaal geen rechten en inspraak is er alleen als het bedrijf daar voordeel bij heeft.

Ik vind het jammer dat we als burgers niet Apple mogen aanmoedigen voor het doen van een goed iets... Van letterlijk ieder ander bedrijf zal je het niet zien.

Ik vergeleek het eerder met een "goede dictator". Een dictator is niet automatisch een slecht mens. De meeste dictators bedoelen het goed en geloven zelf dat ze goed bezig zijn. (Meestal zit daar nog wel een kern van waarheid in ook want ook als beginnend dictator heb je tot op zekere hoogte de steun de bevolking nodig. Als niemand je wil wordt je snel verjaagd. Je zal toch op z'n minst het leger tevreden moeten houden.) Maar we hebben geleerd dat een dictator op lange termijn niet werkt. Zelfs als je nu een goede dictator (of koning of keizer) hebt dan moet je maar hopen dat het zo blijft.

Zo moet je mijn "klacht" over Apple ook zien. Het is fundamenteel niet gezond om te veel macht bij één organisatie of persoon neer te leggen. Als je iemand macht geeft moet er altijd ook een systeem zijn om die macht in toom te houden als het uit de hand loopt. Zonder zo'n controlemechanisme gaat het vroeg of laat altijd fout.
We zijn momenteel druk bezig met nieuwe machtstructuren en te bouwen rond computers, internet en digitale techniek. De overheid loopt zoals gewoonlijk achter de feiten aan en dus vullen bedrijven het gat. Dat is misschien met de beste bedoelingen maar zonder het juiste tegengewicht (toezicht en controle) is het niet de juiste oplossing.

raro007 28 juli 2023 15:12

Dus als je een heel goeie app hebt gemaakt door een slim manier van die api te gebruiken (dus een bedrijfs geheim) moet je dat aan Apple vertellen?
Zoals bijvoorbeeld dat Google haar algoritme van de zoekmachine moet door vertellen, want stel je voor dat die iets fout doet..

[Reactie gewijzigd door raro007 op 27 juli 2024 14:23]

Oid @raro007 • 28 juli 2023 15:15

Klopt dit wel? Volgens mij wil Apple dat je vertelt waarom je de interne api aanroept van het apparaat waar je app op geïnstalleerd staat. Niet vertellen hoe je jouw eigen api gebruikt.

xoniq @Oid • 28 juli 2023 15:20

Klopt. Het is puur om te voorkomen dat jij zonder reden alle informatie van een toestel verzameld om een profiel te maken. (Wat blijkbaar dus wordt gebruikt om toestellen te onderscheiden nu device ID's niet meer mogen)

Cyberpuppy @xoniq • 28 juli 2023 15:25

Fingerpinting mag officiëel nergens, maar lastig te bewijzen. Kleine demonstratie hoe het werkt bij browsers is te vinden bij EFF -> https://coveryourtracks.eff.org/

xoniq @Cyberpuppy • 28 juli 2023 15:25

Klopt, en prima dat bedrijven het moeilijker maken om dat te doen.

Cyberpuppy @xoniq • 28 juli 2023 15:30

Eigenlijk is dit ook eindelijk eens een goede variant van toestemming verlenen. Logisch dat een navigatie app toegang wil tot je GPS, maar nergens staat dan omschreven met welk doel. Dus in theorie kan men, eens toestemming verkregen, alles doen met die GPS. Nu is er, in ieder geval achter de schermen, een doel gekoppeld. Vervolgens is het controleerbaar.

FONfanatic @Cyberpuppy • 28 juli 2023 17:19

Ik heb maanden geleden gemerkt dat Thuisbezorgd aan fingerprinting doet, toen hun klantenservice me na de zoveelste klacht over iets dat in hun app niet functioneerde, ging vertellen dat dat zou komen omdat mijn tablet te vol stond. Ik heb de berichten daarover in Message bewaard. Ik vond - terecht volgens de AVG - dat ze niets te begluren hadden, dat ze maar moesten maken dat hun app minder geheugen gebruikt.

Je raadt het al, de discussie liep uit de hand, ze weigeren elke conversatie met me. En, daar kwam ik achter via een restauranthouder die zich tegen mij uitliet over hoe Thuisbezorgd met restaurants om gaat, drukten terloops geld achterover dat je via spaarkaarten opbouwt. Dat reserveren ze, en pikken het ook in als een restaurant stopt of het contract opzegt. Dat kost een consument hooguit €25, maar opgeteld voor alle klandizie gaat dat dus om forse bedragen. Eén keer raden wat ik ondertussen met bovenstaande aan het doen ben geweest.

Een andere app waarbij fingerprinting gebeurt is DreamLab van Vodafone, wat op zich een sympathiek doel dient. Je werkt er online mee samen aan berekeningen tbv ziektebeelden en extreme weersomstandigheden. Daarvoor kun je maandelijks 1 GB van je mobiele internetbundel besteden, of een onbeperkt aantal Bytes via WiFi. Op een toestel dat een SIM bevat van Vodafone kun je na die ene GB besteed te hebben, niet verder bijdragen, ook niet via WiFi, zelfs niet als dat niet via Ziggo, de andere tak van VodafoneZiggo, gebeurt.

Nu heb ik ook nog een foon waarin ik nog geen SIM gestopt heb. Daarmee lijkt er geen maandelijkse limiet te zijn via WiFi, dat ik overigens verzorg via een mobiele hotspot van een tablet, die daarvoor 'tankt' via ... Vodafone's mobiele internetnetwerk. De conclusie kan niet anders wezen dat er sprake is van fingerprinting.

Dit gebeurt overigens via Android. Waarop ik dus niet àlle machtigingen voor apps toe kan staan of blokkeren om fingerprinting te voorkomen.

Heroic_Nonsense

@raro007 • 28 juli 2023 15:14

Nee, alleen waarom je de API wil gebruiken.

En alleen de API's die op de lijst staan. Je eigen API mag je gewoon gebruiken natuurlijk.

xoniq @raro007 • 28 juli 2023 15:16

Als jij bijvoorbeeld wilt uitlezen hoe vol iemand zn opslag is (systemSize), of hoeveel ruimte vrij is (systemFreeSize), of hoe lang de telefoon aan staat (systemUptime), moet je dat gewoon kunnen verklaren waarom jou app die informatie nodig heeft.

Niks raars aan.

Game-Over @xoniq • 29 juli 2023 09:35

Niks raar aan, klopt.
Het echte punt is hoe simpel het te omzeilen is met een smoes.
Beschikbare ruimte testen doe je om zeker te zijn dat het bestand dat je wil opslaan 'past'.
Je kunt het onzin, of slordig programmeren vinden, maar wel een prima smoes.

bun00b @raro007 • 28 juli 2023 15:16

Denk dat het dan neerkomt op gewoon basis functionaliteit?

Als een file manager app bv de betreffende api gebruikt om in-app te tonen hoeveel ruimte er nog beschikbaar is, dan is dat gewoon functionaliteit.

Als een kalender-app dit zou willen weten, hebben ze toch echt wel een goede reden nodig bv.

IrBaboon79 @bun00b • 28 juli 2023 15:21

Dan prul je er een simpel systeem status schermpje in en dan heb je je reden…

Is dat core functionaliteit? Neuh, maar Apple kan niet afdwingen dat je geen extra handige features in je app mag drukken…

[Reactie gewijzigd door IrBaboon79 op 27 juli 2024 14:23]

bun00b @IrBaboon79 • 28 juli 2023 15:27

Inderdaad, niet moeilijk om een omweg te bedenken om het alsnog te mogen gebruiken. Maar voor malicious actors betekent dit wel weer extra programmeerwerk omdat het nog niet in de app bestond en nu dus moet worden gemaakt. Dit brengt weer kosten met zich mee.

Anderzijds is de controle van de AppStore soms wel redelijk strikt. Lijkt me alsof ze dit zelf zouden controleren en gewoon blokkeren als ze zulke praktijken zien verschijnen. But who knows.

IrBaboon79 @bun00b • 28 juli 2023 16:03

Het zal idd een kosten/baten dingetje worden en het is ook niet fout dat Apple het eea aanscherpt maar het is zeker geen heilige graal/silver bullet.

Ik ben niet thuis in de app wereld maar reklame en targeted advertising schijnt toch wel een dingetje te zijn dus ik kan moeilijk inschatten in hoeverre wat extra features in de app opwegen (er komt dan waarschijnlijk zelfs gewoon een standaard libray voor die je tegen kleine meerprijs kunt inlinken en alleen wat UI elementen eraan hoeft te plakken?) qua kosten/baten van meer/betere profielen...

Game-Over @bun00b • 29 juli 2023 09:30

Dat is eenmalig een heel klein beetje werk.
Laat de gebruiker een icoon oid veranderen in en er is rechtvaardiging voor bestandstoegang.
Simpel en toepasbaar in iedere app.
Zo zijn er veel dingen die je blindelings kunt toevoegen aan een app omdat ze geen enkele interactie met de app hebben.
Je kunt al die dingen samenvoegen en later simpelweg in je ander app plakken en klaar ben je.

laurxp @IrBaboon79 • 29 juli 2023 02:40

Ze zullen apps die deze APIs willen gebruiken wel wat strenger controleren. Het is vrij triviaal om te kijken waar in de app je de API aanroept, dus als je dat ergens buiten dat statusschermpje doet heb je een serieus probleem.

laurxp @raro007 • 29 juli 2023 02:38

Kijk voor de grap eens om welke APIs het gaat. Informatie zoals het moment dat een bestand voor het laatst is gewijzigd, tijdstip van laatste boot, en beschikbare opslagruimte is niet echt iets waar je "slim" gebruik van kan maken. Letterlijk de enige manier om er gebruik van te maken is óf voor het beoogde doel, óf voor device fingerprinting. En mocht je iets nieuws hebben bedacht, dan kan je het dus alsnog aan Apple vragen.

Daarnaast, het idee dat api-gebruik in een app dat op third-party apparaten draait "bedrijfsgeheim" is, is wel wat vergezocht. De apps zijn voor letterlijk iedereen te downloaden, en het gebruik van de APIs is triviaal te ontdekken met reverse engineering. Dan kan je net zo goed je bedrijfsgeheimen in de krant publiceren.

Zoals bijvoorbeeld dat Google haar algoritme van de zoekmachine moet door vertellen, want stel je voor dat die iets fout doet..

Google draait haar algoritme dan ook op de servers van Google. Ze mogen prima kijken wat de vrije schijfruimte is op de Google-server als ze dat willen.

Fox Hound 28 juli 2023 16:38

Fijn dat er ook over fingerprinting wordt nagedacht. Ik hoop dat Apple binnen Safari ook extra maatregelen gaat nemen.

Patrick22221 28 juli 2023 19:37

Sws is het niet kleine developer pesten, want: iedereen moet hun product met een gouden randje afleveren.

Als er mensen zijn die hier een loopje mee willen nemen, weet je gelijk hoe hun mentaliteit is!

Alleen maar goed dus

Dreamvoid 29 juli 2023 16:00

Dit is weer eens symptoombestrijding - het is zinvoller om gewoon alle profiling/tracking te verbieden tenzij er een zwaarwegende wettelijke reden voor is, ongeacht welke methode apps gebruiken. Voor 99% van de apps en website is er geen enkele valide reden om mijn gegevens te loggen of te weten wie ik ben. Ik ben een account met een willekeurig email adres, of een willekeurig IP adres op het internet, morgen heb ik weer een ander adres, da's alles wat ze hoeven te weten.

Toch profiling? Boetes voor het bedrijf, de verantwoordelijke personen, en indien nodig, voor de hosting providers/dienstverleners die geen solide KYC doen.

[Reactie gewijzigd door Dreamvoid op 27 juli 2024 14:23]

mocean 28 juli 2023 16:26

"hoelang een apparaat aanstaat sinds de laatste keer dat het is gestart" < dat lijkt me uitermate onbruikbaar voor fingerprinting...

YopY @mocean • 29 juli 2023 00:17

Nou nee; fingerprinting gaat om het volgen van gebruikers tussen meerdere apps, dat kan standaard niet.

Gebuiker opent app A, hoelang het apparaat aan staat geeft aan: 10 minuten. Gebruiker sluit app A, gaat naar app B. Timer geeft aan: 10 minuten en 3 seconden. Dat gecombineerd met andere gegevens is goed genoeg voor een tracker om voor 99% zeker te weten dat het om dezelfde gebruiker / persoon gaat.

Zie ook bijvoobeeld https://amiunique.org/fingerprint

aikebah @mocean • 28 juli 2023 16:49

Indien consequent <24uur: zeer waarschijnlijk is de gebruiker lid van een van de hogere leeftijdscohorten. Die zetten een apparaat nog wel eens actief uit en alleen aan als ze hem nodig hebben.

Rinzwind @aikebah • 28 juli 2023 22:31

Moet je eens berekenen hoe langer je accu goed blijft als je m 8 van de 24 uur compleet uitzet.

aikebah @Rinzwind • 29 juli 2023 11:42

Ik heb er ook geen oordeel over... prima om hem tussendoor uit te zetten, ik beschrijf enkel een geobserveerd patroon dat aangeeft dat ook 'tijd sinds laatste start' bruikbaar is als onderdeel van fingerprinting om de gebruiker te profileren voor targeted advertising.

laurxp @mocean • 29 juli 2023 02:47

Integendeel!

Smartphones worden zelden gereboot. Een uptime van meerdere weken of zelfs maanden is niet abnormaal. Zodra er geen reboots meer zijn voor veiligheidsupdates, is een uptime van jaren niet eens heel ongebruikelijk.

De tijd sinds laatste reboot kan je combineren met de huidige tijd om een precieze boottijd te krijgen, vaak op de seconde nauwkeurig. Dat kan al snel genoeg zijn om het aantal mogelijke apparaten terug te brengen van honderden miljoenen naar enkele duizenden. Combineer dat met een aantal andere dingen, en je hebt een redelijk unieke fingerprint.

koelpasta 28 juli 2023 17:19

Zo wil het bedrijf voorkomen dat de api-toegang wordt misbruikt om mensen te tracken met fingerprinting.

Wacht eens even. WTF.
Apple en andere leveranciers van fingerprintisensors beweerden jarenlang bij hoog en laag dat de opgeslagen informatie niet kan worden misbruikt en voor andere doeleinden worden gebruikt dan directe authenticatie.
Als dat waar was dan was dit hele gedoe met privacymanifesten niet nodig geweest.
Deze actie van apple klinkt alsof deze systemen dus actief worden misbruikt. Wat helemaal niet kon volgens deze bedrijven.

Deze bedrijven geven door hun acties duidelijk aan dat je ze niet met je priveegegevens kunt vertrouwen. Het is denk ik wijs hiernaar te handelen.

Edit: Shit, verkeerd gelezen. Het gaat om systeemfingerprinting en niet om vingerafdrukken.,., Sigh,. nog maar een kopje koffie dan.,.,,.

[Reactie gewijzigd door koelpasta op 27 juli 2024 14:23]

GertMenkel @Robin94 • 28 juli 2023 15:49

Als het om antifingerprinting gaat, vind ik dat een hele goede reden. Dit soort gedrag is één van de dingen die Apple's App Store nou net aantrekkelijk maken.

Ik blijf iets sceptisch omdat Apple en Google vaker veiligheidsdingetjes hebben gebruikt om concurrentie te weren, bijvoorbeeld bij apps die ouderlijk toezicht boden (en die vanwege gebrek aan goede APIs soms via omwegen moesten werken, wat werd getolereerd... totdat deze platformen met hun eigen ouderlijk toezicht kwamen).

bzzzt

Apple

@GertMenkel • 28 juli 2023 15:56

Je kan niet met droge ogen beweren dat je een secure besturingssysteem levert als je het voor apps van bepaalde partijen toelaat om het halve security model te passeren.
Sommige dingen kunnen eigenlijk alleen op OS nivo opgelost worden (denk aan game anticheat/drm waaronder ouderlijk toezicht, diep geintegreerde antimalware), en als je goedwillende partijen toegang verleent om op dat nivo code te draaien neemt daarmee ook de mogelijkheid tot misbruik toe, zeker omdat niemand zich initieel als kwaadwillende partij presenteert.

bun00b @Robin94 • 28 juli 2023 15:20

Je moest sowieso al aangeven welke device api's je app aanspreekt, nu moet je gewoon voor een groep core-api's ook aanduiden wat de reden is waarom je deze precies nodig hebt. Vind het wel een fijne move, aangezien deze eerder api's zijn die system metrics ed. ophalen die idd (kunnen) worden gebruikt voor fingerprinting en tracking.

Gewoon een verdere evolutie van het heel privacyverhaal.

xoniq @Robin94 • 28 juli 2023 15:21

Welk obstakel? Kleine ontwikkelaars hebben deze API's helemaal niet nodig voor een niet-bestandsbeheer app. Dus daar veranderd niks.

KeesAlderlieste @xoniq • 28 juli 2023 15:44

UserDefaults heeft niets met bestandbeheer te maken

xoniq @KeesAlderlieste • 28 juli 2023 15:46

Klopt, system uptime ook niet, maar ik gaf een voorbeeld wat het meest simpel uit te leggen is.

WhatsappHack

Apple
Apps
Privacy

@Robin94 • 28 juli 2023 16:04

Apple is al ingedekt. En het mag juist geen vaag verhaal zijn, je moet gewoon helder kunnen uitleggen waarom je bepaalde API's aanroept. Kan dat niet? Dan heb je die API ook niet nodig en hoef je dus niet nodeloos allerlei informatie over de gebruiker te verzamelen die misbruikt kan worden voor ongewenste tracking. Wil je wel graag getrackt worden en allerlei troep in je apps? Binnenkort mogen alternatieve stores erop komen, dan kan je naar hartelust allemaal privacy schendende rotzooi installeren; en dan is het wél een stuk makkelijker om met allerlei grote lappen tekst te verhullen wat je doet - niemand die het checkt.

Janusch @Robin94 • 28 juli 2023 15:21

Weer zo'n Apple ding waardoor eindgebruikers beschermd worden. Bah, al die privacy regels, ik heb liever dat alle bedrijven wereldwijd gewoon alles van mij weten, dan hoeven ze er ook nooit meer om te vragen.

Auto allow cookies, auto allow show EPD, auto allow everything.

Said no one ever

Donstil

Apple

@Janusch • 28 juli 2023 16:05

Weer zo'n Apple ding waardoor eindgebruikers beschermd worden. Bah, al die privacy regels, ik heb liever dat alle bedrijven wereldwijd gewoon alles van mij weten, dan hoeven ze er ook nooit meer om te vragen.

Auto allow cookies, auto allow show EPD, auto allow everything.

Said no one ever Android gebruikers.

IFTFY 🙃

[Reactie gewijzigd door Donstil op 27 juli 2024 14:23]

xoniq @Donstil • 28 juli 2023 16:36

Ik moet wel zeggen (ik ben zelf iOS gebruiker, maar ontwikkelaar voor beide platform), ze beginnen in de Android kamp toch echt meer met permissies te doen. Nog lang niet zoveel als was iOS al een halve decennia doet, maar het gaat de goede kant op.

Donstil

Apple

@xoniq • 29 juli 2023 01:05

Ik moet wel zeggen (ik ben zelf iOS gebruiker, maar ontwikkelaar voor beide platform), ze beginnen in de Android kamp toch echt meer met permissies te doen. Nog lang niet zoveel als was iOS al een halve decennia doet, maar het gaat de goede kant op.

Ja hoor dat is zo, het gaat ook daar de goeie kant op.
Alleen nuance is niet leuk voor het grapje enz.

FONfanatic @Janusch • 28 juli 2023 17:26

Totdat bijv. het UWV online meende te zien dat je je mogelijk frauduleus gedraagt en je WW-rechten stop zette. Zoek maar op hier op Tweakers hoe snel dat op onwettige wijze gebeurde.

YopY @Robin94 • 29 juli 2023 00:19

Kleine ontwikkelaars moeten ook goede apps afleveren en de privacy van hun gebruikers respecteren.

Op dit item kan niet meer gereageerd worden.

Apple wil dat appmakers vanaf 2024 api-gebruik toelichten vanwege fingerprinting

Lees meer

IT-banen

Reacties (76)

Sorteer op:

Weergave: