Vrijwel elke iPhone besmet met spyware
Privacy gevoelige data verzameld zonder dat gebruikers dit weten
Veelgebruikte iPhone apps als Skype blijken een vorm van spyware te bevatten.
Dat is de schokkende conclusie uit onderzoek van de Australische software architect en beveiligingsexpert Troy Hunt naar het netwerkverkeer dat populaire iOS apps genereren.
Hunt ontdekte dat veel iOS apps u bespioneren tijdens het gebruik. Legale apps die u gewoon via de Apple Appstore heeft gedownload en geïnstalleerd. Deze apps verzenden gedetailleerde informatie naar hun makers over wat u met hun applicatie doet, inclusief het unieke device ID en de locatie van het toestel. Uiterst privacy gevoelige informatie. Zeker wanneer deze informatie gebundeld wordt met gegevens uit andere apps.
In Hunt’s onderzoek is het dataverkeer dat tal van apps genereren nader bekeken (ookwel genaamd ‘ data sniffing’) en wat opvalt is dat deze telkens het device ID en locatie versturen, samen met informatie over wat de gebruiker aan het doen is in de app.
Een van de grootste boosdoeners is ‘Flurry’, een plugin die app developers gebruiken voor advertentie en tracking diensten. Flurry portretteert zich als een partner die developers ondersteunt bij het acquireren, binden en te gelde maken van hun apps in de nieuwe mobiele app economie. Dat klinkt goed, maar niet als je weet dat ze dit doen door een gigantische hoeveelheid data te verzamelen vanuit meer dan honderdduizend apps!
Wat het probleem nog ernstiger maakt: uit het onderzoek van Hunt blijkt dat veel van de data ongecodeerd of slecht gecodeerd wordt verstuurd. Naast persoonlijke informatie wordt er zelfs onbeveiligde login informatie van gebruikers verzonden. Criminelen kunnen hiermee toegang krijgen tot accounts van gebruikers. Met alle gevolgen van dien.
Het probleem beperkt zich overigens niet tot iOS apps. Ook Android, Blackberry en Windows Phone apps gebruiken Flurry. En het gaat hierbij niet om de minste apps, zelfs Skype gebruikt Flurry.
Wijdverspreid probleem
Omdat Flurry zo breed ingezet wordt, is het bedrijf in staat om data samen te voegen en veel over gebruikers te weten te komen. Niet alleen over uw persoonlijke interesses en verlangens maar ook op zakelijk gebied. Tenslotte gebruiken de meeste mensen een en dezelfde telefoon voor zowel privé als zakelijke aangelegenheden. En met nieuwe zakelijke trends zoals Bring Your Own Device (BYOD), waarbij werknemers steeds vaker eigen mobiele apparaten zakelijk gebruiken wordt het veiligheidsrisico alleen maar groter.
Flurry zegt meer dan 44 miljoen individuen te bereiken. Dat is drie maal de Nederlandse bevolking. Grootschalige gebruikersdata vergaring is uiteraard niets nieuws. Doubleclick, in 2007 gekocht door Google, was een pionier op het gebied van 3rd party cookies om gebruikers te kunnen volgen over meerdere websites. Het grote verschil met iOs apps is echter dat er in de standaard instellingen van de iPhone geen mogelijkheid bestaat om deze privé datavergaring te blokkeren. iOs apps zijn gesloten ‘zwarte dozen’, die weinig of geen informatie onthullen over wat ze van plan zijn.
Privacy of wassen neus?
Flurry’s privacy beleid is geformuleerd in de gebruikelijke algemene termen. Alhoewel er in het privacy statement staat dat “Flurry persoonlijke informatie niet zal verhuren, verkopen of delen”, wordt er ook melding gemaakt van een aantal uitzonderingen. En deze spreken die eerder gegeven ‘garanties’ tegen.
Zo kan Flurry uw gegevens delen:
• met externe leveranciers, consultants en andere dienstverleners die voor Flurry werken en toegang moeten hebben tot uw informatie om dat werk te doen;
• om te voldoen aan wetgeving of in verband met wettelijke verzoeken en juridische procedures;
• met toestemming van de app ontwikkelaar;
• om de rechten en eigendommen van Flurry, haar agenten, klanten, gebruikers en anderen te beschermen;
• in verband met of tijdens de onderhandelingen over een fusie, verkoop van bedrijfsactiva, financiering of verwerving van alle of een deel van Flurry’s aandelen.
Flurry ontkent dus niet uw persoonlijke informatie te verzamelen, maar zegt alleen dat het de gegevens niet zal delen, behalve in een aantal voor de hand liggende situaties. Als we Flurry mogen geloven zal het bedrijf deze principes waarschijnlijk ook met de nodige zorgvuldigheid bewaken.
Helaas heeft het verleden ons al vaak laten zien dat mooie principes van de ene op de andere dag kunnen veranderen en informatie met één druk op de knop op straat ligt, (Wikileaks, Volkskrant NSA Prism dossier). Zoals het er nu staat geeft het huidige privacy beleid Flurry het recht om te doen wat het wil met uw gegevens en uw persoonlijk identificeerbare informatie.
Niet makkelijk om te ‘opt out-en’
Gelukkig is het ook mogelijk om Flurry’s omvangrijke datavergaring van uw persoonsgegevens een halt toe te roepen. Een Google zoekopdracht levert snel een opt-out pagina waar u kunt aangeven dat Flurry uw data niet meer mag verzamelen.
Wat moet u doen?
1. het UDID opzoeken van uw apparaat. (via iTunes)
2. het Wifi / Mac adres van uw apparaat opzoeken (via instellingen/algemeen /info)
Na het invullen van deze informatie verschijnt de melding dat het verzoek zal worden verwerkt. Niets over de tijdsperiode of over het feit dat ze reeds vergaarde informatie zullen verwijderen uit hun archief.
Bescherm uw iPhone tegen spyware!
Bovenstaand verhaal laat zien dat er een schrikbarende hoeveelheid persoonlijke data wordt verzameld, zonder dat iemand het weet. Een eenmalige handmatige afmelding bij een bedrijf als Flurry kan schelen, maar er zijn uiteraard veel meer van dit soort bedrijven en software toepassingen die onder de radar hetzelfde doen. Flurry is waarschijnlijk nog ‘one of the good guys’. Maar wat als kwaadwillenden via een app uw gegevens doorspelen?
De enige manier om écht zeker te zijn is de juiste Firewall software op uw telefoon te installeren. Voor de iPhone is er ‘Firewall iP‘, een programma dat uw dataverkeer monitort en u laat kiezen welk verkeer wel of niet is toegestaan. Helaas is deze app niet via de normale Apple Appstore verkrijgbaar en moet uw iPhone een jailbreak hebben om Firewall iP te installeren. Een alternatief is om al uw dataverkeer te herrouteren via een VPN en verdacht dataverkeer te blokkeren, bijvoorbeeld verkeer naar data.flurry.com of data met daarin een iOS device ID.
—
-> dit artikel mag geheel of in delen worden overgenomen, mits met bronvermelding van www.repairking.nl