Ik hou van mijn smartphone. Mijn Samsung Note III is een venster op de wereld, mijn persoonlijke assistent die altijd klaarstaat met de juiste informatie. Waar en wanneer ik wil, lees en luister ik de beste journalistiek, bekijk ik informatieve en vermakelijke filmpjes, plan ik afspraken in en vind ik de weg in vreemde steden. Als ik ver van huis ben, warm ik mezelf op aan de foto’s van mijn kinderen en WhatsApp’jes met vrouw, vrienden en familie. En oh ja, ik bel er weleens mee.

Ja, ik hou van mijn smartphone, maar het apparaat is het laatste halfjaar een totale obsessie voor mij geworden. En een grote bron van frustratie.

Ruim een halfjaar geleden zochten colllega-correspondent Maurits Martijn en ik uit door welke bedrijven we browsend op een pc We concludeerden dat ons internetgedrag continu door tientallen commerciële partijen bekeken wordt. Saillant was dat de verantwoordelijke websitebeheerders vaak niet op de hoogte waren welke hun publiek in de gaten hielden. Maar er was ook goed nieuws. Zelfs als niet-technische internetter kun je je nog aardig tegen dit volggedrag, bijvoorbeeld door cookies te blokkeren in je browser.

We wilden hetzelfde onderzoek uitvoeren op smartphones. Een smartphone is evengoed een computer, maar werkt heel anders dan een lap- of desktop. Een computer is relatief open. Je kunt er zelf programma’s voor schrijven en er op installeren wat je wilt. Een computer moet een alleskunner zijn. Maar toen Steve Jobs de iPhone lanceerde, was het gedaan met die openheid: ‘Wij bepalen alles wat op de telefoon wordt toegelaten,’ zei de grote roerganger tijdens de presentatie van de iPhone.

Smartphones zijn daarom helemaal dichtgetimmerd. Apple en Google bepalen welke apps je kunt downloaden. Het besturingssysteem, bijvoorbeeld, bepaalt welke data die apps kunnen gebruiken. Je kunt swipen wat je wilt, je zal nergens zien wat dat besturingssysteem precies doet; wat die regels voor datagebruik precies behelzen.

Hoe een smartphone werkt, blijft verborgen onder de motorkap.

Na lang, heel lang zoeken is het gelukt die motorkap open te breken. Althans, grotendeels. Ik heb en duizenden datasporen gevolgd. Ik zag hoezeer mijn smartphone onderdeel is van een complex, internationaal web van commerciële datastromen, waarbij mijn data over de hele wereld vliegen en bij honderden verschillende bedrijven terechtkomen. En daar heb je nauwelijks invloed op. Uiteindelijk heb je weinig tot niets over je eigen data te zeggen.

De Bijenkorf vraagt toestemming

De motorkap kreeg ik open door een zogenoemde man-in-the-middle attack uit te met Charles, een programma dat door app- en webontwikkelaars Ik leidde het dataverkeer van mijn smartphone naar de router om via mijn laptop. Door een vals beveiligingscertificaat te installeren, kon ik ook beveiligd Ik volgde zo milliseconde voor milliseconde met welke servers mijn smartphone contact legde en welke informatie daarbij werd

En nog graag toestemming om mijn agenda te lezen, afspraken te plannen en wijzigen en zonder mijn medeweten mails kunnen sturen aan mensen die in mijn agenda staan

Een voorbeeld.

Ik installeer de van De Bijenkorf. Voordat de installatie plaatsvindt, vraagt de Google Play Store of ik de app een aantal toestemmingen De app wil graag netwerkinformatie kunnen zien - of ik op wifi zit bijvoorbeeld. Of hij gebruik mag maken van de trilfunctie en mag voorkomen dat het toestel in slaapstand sukkelt. De app wil graag gegevens op mijn geheugenkaart schrijven of wijzigen. Hij wil gebruik kunnen maken van de camera. Mijn precieze (gps) en ruwe locatie weten. En: toestemming om mijn agenda te lezen, afspraken te plannen en te wijzigen en zonder mijn medeweten mails te kunnen sturen aan mensen die in mijn agenda staan.

Natuurlijk. Gaat uw gang, beste Bijenkorf. Alles voor het experiment.

Besprongen door commerciële trackers

Het is 11.47 uur. Ik druk op het Bijenkorf-icoontje. Nog voordat de app opent en de inhoud wordt geladen, plaatst Google een cookie op mijn toestel waardoor het bedrijf mij kan volgen. Kort daarna zie ik dat de Bijenkorf-app mijn toestel een unieke id geeft. Vanaf nu kan De Bijenkorf mij identificeren, ook als ik de app een tijd niet gebruik. Als ik de homepage van de app bekijk, meldt zich in Charles. In de zesde minuut dat ik de app gebruik, zal Google Analytics een trouwe vriend blijken die continu aan mijn zijde blijft.

Ik besluit een Bijenkorf Card aan te vragen. Om 11.48 maakt de app contact met een server in Seattle in Amerika. Die is van Amazon, maar wordt gehuurd door Intershop, een groot internationaal bedrijf dat De Bijenkorf helpt bezoekers realtime te analyseren. Ook statistiekbedrijf Shop2Market komt het toneel opgestormd om, net als Google Analytics, mijn kijkgedrag swipe na swipe te analyseren. Op het moment dat ik mijn account voor de Bijenkorf Card aanmaak, komt ook advertentiegigant Google Doubleclick even kijken wat ik aan het doen ben.

Eindelijk ben ik klaar om te shoppen. En dan gebeurt er iets geks.

Terwijl ik naar een luxe zwartlederen laptoptas kijk (meer dan 500 euro), wordt mijn smartphone besprongen door zeker achttien verschillende online advertentiebedrijven die allerlei data van en naar hun servers sturen. Het is een blitz-aanval. In één enkele seconde wordt contact gelegd met servers in de Verenigde Staten, Zweden, Duitsland, Ierland en Nederland van bedrijven die luisteren naar namen als Improve Digital, Admeta, Adtech, Metrigo, Burst Media, Yieldlab, Switch Concepts, AppNexus, Sociomantic, Adscale, Rubicon Project, OpenX, Smart Adserver en Casale Media.

Illustratie: Momkai
Illustratie: Momkai

Wat doen die trackers in mijn app?

Wat al deze trackers precies doen in deze app, is een heus mysterie. AppNexus is een platform voor real-time bidding, een flitsveiling waarin adverteerders in milliseconden tegen elkaar opbieden om mij een advertentie te die bij mijn interesses aansluit. Een aantal andere bedrijven, zoals Admeta, Adtech, Burst Media en Rubicon Project, levert de techniek om te bieden.

Maar de Bijenkorf-app laat helemaal geen externe advertenties toe. Het zou nog kunnen dat deze bedrijven nu bieden om mij later, op andere websites, advertenties van De Bijenkorf te

De app laadt de mobiele site in, waardoor ook de trackers automatisch worden meegeladen. Daar worden die trackers gebruikt om bezoekers te volgen

Maar ook dat is hier niet het geval, zegt woordvoerder Michel Bos van De Bijenkorf. Het warenhuis werkt alleen samen met Sociomantic, een bedrijf dat de retargeting van bekeken producten verzorgt. En dit is de enige tracker die in de privacy policy van de Bijenkorf-website wordt genoemd.

De verklaring is veel banaler. De app laadt de mobiele site in, waardoor ook de trackers automatisch worden meegeladen. Daar worden die trackers gebruikt om bezoekers te volgen. Volgens Bos zijn die trackers ‘functieloos.’ Ze registreren niets in de app. ‘We begrijpen dat hier verwarring over kan ontstaan bij experts en zullen binnenkort de app aanpassen zodat de gegevens niet worden opgeslagen. Dank dat je ons hier attent op

Websites weten zelf niet wie hun publiek allemaal volgt.

Diarree en gevoelige borsten

Soms leidt die onwetendheid van app-aanbieders tot ronduit onveilige apps.

Op verzoek van een lezer test ik WomanLog, een app waarmee vrouwen inzicht kunnen krijgen in hun menstruatiecyclus. Die is wereldwijd meer dan 5 miljoen keer gedownload in de Google Play Store. De app toont een kalender waarin ik allerlei informatie over mijn lichaam Vervolgens maak ik een back-up, een feature die app-maker Pro Active App in de gratis versie heeft ingebouwd.

In die back-up zit echter een veiligheidslek.

Want wat zie ik terug in Charles? Dat ik, volgens WomanLog, op 10 april seks had. Dat ik last heb van gevoelige borsten, diarree en mij hongerig voelde. Dat ik de pil gebruik en mij op 6 april verdrietig voelde. De meest intieme informatie vliegt onbeschermd door de ether. Iedereen die op hetzelfde wifi-netwerk zit, kan probleemloos dit soort informatie onderscheppen.

Van de 85 onderzochte apps vond twee derde van het dataverkeer zo open en

Veelzeggender dan je dna-profiel

Terug naar de trackers. Wie volgen jou op je smartphone, welke data kunnen ze onderscheppen en wat doen ze daarmee?

Op de 85 onderzochte apps vond ik 67 verschillende trackers. Ruim twee derde van die trackers wordt gebruikt door advertentiebedrijven. Zestien bedrijven leveren analytics-diensten: die bekijken dus hoe je je gedraagt op de app, waar je naar kijkt en waar je op klikt. Deze analytics worden doorgaans door de websites zelf gebruikt om inzicht te krijgen in hun bezoekers. Er is één bedrijf dat deze mobiele surveillance domineert: Google. Op de 85 apps kwam ik minstens 104 keer een tracker van

Een ander interessante tracker is Flurry, die ik op 25 apps ben

Flurry volgt gemiddeld zeven apps op 1,3 miljard smartphones en tablets. Iedere maand ziet en noteert het bedrijf 150 miljard keer dat een app, die Flurry volgt, wordt gebruikt

Naar eigen zeggen volgt Flurry gemiddeld zeven apps op 1,3 miljard toestellen (smartphones en tablets). Iedere maand ziet en noteert het bedrijf 150 miljard keer dat een app, die Flurry volgt, wordt gebruikt. Hiermee kan Flurry gedetailleerde gedragsprofielen opbouwen. ‘Your app signature is more distinctive than your DNA,’ pocht het bedrijf.

Maar Flurry verzamelt meer: locatiegegevens, identificatienummers van je toestel, taal, soort smartphone of tablet, telefoonaanbieder. Het biedt ook zogenoemde ‘Enhanced Personas’ aan. Dit zijn (potentiële) klanten over wie uit offline databases extra informatie wordt verzameld, zoals inkomen, aantal kinderen en reisvoorkeuren. Adverteerders kunnen die inzichten vervolgens kopen om zeer gerichte aanbiedingen te doen.

Flurry voert een nogal discutabel blijkt uit onderzoek van Het enige positieve dat deze organisatie hierover te zeggen heeft, is dat Flurry gebruikers anonimiseert. Maar in de online wereld is anonimiteit betrekkelijk. Als je iemand kunt blijven volgen aan de hand van een uniek identificatienummer maakt het niet uit of hij Pietje of Jantje heet. Je kan nog steeds een uitgebreid gedragsprofiel van iemand opbouwen.

Bovendien is Privacychoice.org kritisch over het feit dat Flurry zwijgt over hoe lang gegevens bewaard worden. De tracker sluit daarnaast niet uit dat er ook gevoelige gegevens worden opgeslagen, zoals bijvoorbeeld van gezondheidsapps. Het eindoordeel van Privacychoice.org is duidelijk: ‘Zorgelijk.’

Illustratie: Momkai
Illustratie: Momkai

WhatsApp-berichten stelen

Flurry doet iets wat niet de bedoeling is: het volgen van gebruikers door verschillende apps. Het besturingssysteem van de iPhone en Android-toestellen is erop gericht de datastromen van apps zoveel mogelijk te scheiden. Dit wordt ook wel sandboxing genoemd. App-aanbieders mogen alleen zien wat er in hun eigen app gebeurt.

Maar in de praktijk blijken die harde grenzen behoorlijk poreus. Bas Bosschert, een Nederlandse webontwikkelaar, begin maart aan dat hij via een zelfgebouwde app de chats en berichten van WhatsApp kon ontfutselen op Android-toestellen.

En dat komt door de toestemming die wordt gebruikt bij het installeren van apps: ‘modify or delete the contents of your USB storage.’ In mijn onderzoek werd deze toestemming bij 58 van de 85 apps gevraagd.

Met deze toestemming heeft een app toegang tot je geheugenkaart. Veel apps hebben dat nodig. Spelletjes willen bijvoorbeeld scores kunnen opslaan. Een camera-app wil foto’s opslaan in het geheugen. Maar met deze toestemming kun je dus óók bij de opslag van andere apps komen.

Wat Android anders doet dan iOS

Dit roept de vraag op waar je eigenlijk toestemming voor geeft als je een app installeert.

Dit verschilt erg per besturingssysteem. Als je een app installeert op je iPhone geef je nergens Pas als een app daadwerkelijk gevoelige data wil gebruiken, word je toestemming

Android werkt heel anders. Als je een app installeert, moet je van tevoren akkoord gaan met de zogenoemde ‘permissies’ die de app van je vraagt. Iedere app moet een Permission Manifest hebben waarin de verleende permissies staan opgesomd. Android zorgt er dan voor dat de app nooit méér data kan krijgen dan in het manifest staan, dus waar je toestemming voor hebt gegeven.

Wat moeten Angry Birds, LinkedIn, Shazam, Skype, Snapchat, TVGids en Viber bijvoorbeeld met je locatie?

Het Android-systeem is om verschillende redenen

Ten eerste is het slikken of stikken. Je moet alles goedkeuren om de app te kunnen gebruiken. Het is logisch dat muziek-app toegang vraagt tot je microfoon en internet: hij moet immers een melodie horen en die vergelijken met zijn eigen database. Maar is het nodig dat Shazam je precieze locatie opslaat?

Ten tweede vragen apps vaak om onnodig toestemmingen. Toegang tot het internet bijvoorbeeld (vrijwel alle 85 onderzochte apps vragen daarom). Veel apps hebben dat niet nodig. En wat moeten Angry Birds, LinkedIn, Shazam, Skype, Snapchat, TVGids en Viber bijvoorbeeld met je locatie?

Waar geef je eigenlijk toestemming voor?

Het grootste probleem is dat je na dit permissiecircus nog steeds niets weet.

Ten eerste zwijgen de toestemmingen over alle trackers die een app laadt, maar die wel degelijk allerlei informatie van je opslurpen. Als je daar inzicht in wilt krijgen, moet je eerst de vaak lange privacy policy van de app doorlezen. Als die er al is.

Ten tweede, waar geef je nu eigenlijk toestemming voor? Wat betekent het dat een app jouw ‘Google service configuration’ kan lezen? Is het bezwaarlijk dat een app kan zien welke andere apps actief zijn? Voor een gewone gebruiker zal dit abracadabra zijn.

Ten derde zijn deze toestemmingen maar een deel van het verhaal: onder iedere permissie schuilen weer allerlei ‘subtoestemmingen.’ Via de app kan ik bijvoorbeeld zien dat de 85 onderzochte apps 53 keer mijn ‘hardware serial number Dit valt waarschijnlijk onder de categorie ‘personal information’, maar

Illustratie: Momkai
Illustratie: Momkai

Jailbreaken en rooten

Het gebrek aan informatie is vervelend. Echt frustrerend is dat het zo moeilijk is controle te krijgen

Paradoxaal genoeg moet je de beveiliging van je smartphone dus breken om je eigen data beter te beschermen. Maar dat gaat niet zonder slag of stoot.

De terminologie is veelzeggend. Als je meer zeggenschap wilt over je iPhone, moet je hem ‘jailbreaken.’ Een Android-toestel moet je ‘rooten.’ Dit vereist echter flink wat En als het misgaat, zit je met een probleem: de garantie op je smartphone vervalt. Apple heeft zelfs via de rechter geprobeerd een verbod op jailbreaking af te dwingen.

Je intieme smartphone

Is dit gebrek aan controle erg?

Als je erg bezorgd bent over je privacy, dan moeten smartphones een gruwel zijn. Je hebt als gewone gebruiker geen zicht op wie met welke data aan de haal gaat. Daarnaast heb je nauwelijks mogelijkheden om die datastromen af te knijpen of te sturen.

Een smartphone is méér dan een telefoon. Een smartphone is een krachtige pc. En heel intiem. Hij houdt bij wat je doet, waar je bent, met wie je communiceert, hoe je reist, waar je naar kijkt en luistert, wat je leest, wie je leuk vindt, wat je graag doet. En onze smartphones komen steeds dichter op onze huid te zitten. Letterlijk. Je draagt straks wellicht een Google Glass op je neus. Onlangs is er een Android-versie opgeleverd voor wearables, zoals slimme horloges. Deze wearables zullen ook weer allerlei data opzuigen

Die nieuwe rijkdom aan data maakt het voor advertentiebedrijven mogelijk meer gedetailleerde profielen op te bouwen. Omdat er zoveel gedragsdata worden onderschept, zijn er steeds meer mogelijkheden voor manipulatie. Advertentiebedrijven meten waar en op welke sites ze je het beste kunnen bestoken, op welke momenten je het meest geneigd bent iets te kopen. Als één bedrijf dat doet, is dat niet zo problematisch. Als honderden bedrijven je continu proberen te sturen, thuis, onderweg en op je lijf, krijg je een

Volgens Frederik Borgesius, promoverend internetjurist aan de UvA, is smartphonesurveillance totaal uit de hand gelopen. Hij durft wel te stellen dat via smartphones de Europese wetgeving (grotendeels uit 1995!) grootschalig wordt geschonden. Hij schetst het dilemma. ‘Wie moet daar tegen optreden? Privacytoezichthouder College Bescherming Persoonsgegevens heeft slechts enkele tientallen werknemers Waarschijnlijk helpen alleen zeer hoge boetes. Daar wordt nu in Brussel aan gewerkt.’

Een belangrijker probleem, aldus Borgesius, is wellicht de smartphonegebruiker zélf die overal maar ‘ja’ op klikt. De vraag die al jaren wordt gesteld, maar waar nog steeds geen goed antwoord op lijkt te bestaan, is deze: hoe zorg je ervoor dat de gebruiker een geïnformeerde én gebruiksvriendelijke én echte keuze kan maken?

Smartphonesurveillance is een politiek probleem

Tot slot is het gebrek aan controle ook een dringende politieke kwestie. The Washington Post onthulde begin dit jaar dat de National Security Agency (NSA) gulzig smartphones leegtrok, op zoek naar locatiedata, contactgegevens en De NSA maakt ook gebruik van advertentienetwerken en gebruikt bijvoorbeeld commerciële cookie-data om smartphonebezitters te volgen. The Guardian dat data van het spelletje Angry Birds, verwerkt door advertentiebedrijf Millennial Media, ook systematisch werden onderschept. De NSA kon hiermee op grote schaal mensen online volgen.

Gebruiksgemak en schoonheid brengen kosten met zich mee die we nog niet goed kunnen beprijzen

Bij het maken van dit verhaal moest ik daarom vaak denken aan het boek van Jonathan Zittrain, een invloedrijke internetjurist aan het Massachusetts Insitute of Technology. Hij schrijft: ‘The iPhone is both a product of fashion and fear.’ En dat geldt net zo goed voor Android.

Smartphones zien er mooi uit. Ze werken. Doen wat ze moeten doen. En kunnen waarschijnlijk nog veel meer dan we weten. Maar gebruiksgemak en schoonheid brengen kosten met zich mee die we nog niet goed kunnen beprijzen.

Ja, ik hou nog steeds van mijn smartphone. Maar de liefde is wel aanmerkelijk bekoeld.

Ik kon dit artikel niet schrijven zonder hulp van de volgende personen, die ik bij dezen wil bedanken: Maurits Martijn, Lysander Vogelzang, Tieme van Veen, Marcel Bokhorst, Guido Rus, Mark Steenbakkers, James Sellwood, Lukasz Olejnik, Michael Bevz, Jeroen van Raalte en Manon van den Brekel.

Hoe ik het smartphone-onderzoek heb uitgevoerd Dit was technisch een moeilijk verhaal om te maken. In deze update beschrijf ik in detail hoe ik het onderzoek heb uitgevoerd en welke afwegingen ik heb gemaakt. Voor de liefhebber. Lees hier hoe ik het onderzoek gedaan heb

Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Lees het stuk over trackers op pc’s en laptops hier terug.

Nee, je hebt wél iets te verbergen In discussies over privacy duikt steeds dit argument op: 'Ik heb niets te verbergen'. Waarom zou je je dan zorgen maken over de NSA of Facebook? Rob Wijnberg en Maurits Martijn geven elf redenen waarom dit een fundamenteel verkeerd argument is. Lees het betoog van Rob en Maurits hier terug

Nieuwsgierig hoe de foto bij dit stuk is gemaakt? Fotograaf Rein Janssen werkte de afgelopen weken in zijn studio aan de foto's die bij de verhalen van Dimitri Tokmetzis en Maurits Martijn over de online advertentiemarkt zijn gepubliceerd. En daarvoor ging hij veel meer analoog te werk dan zijn foto's misschien doen vermoeden. Lees hier hoe Rein Janssen de foto’s heeft gemaakt