110
Facebook
Twitter
LinkedIn
Whatsapp
E-mail
Eerder schreven correspondent Maurits Martijn en ik over online trackers die ons gedrag registeren via pc’s en laptops. Vandaag het vervolg: wat houdt het apparaat in onze broekzak allemaal over ons bij? Na langdurig onderzoek naar 85 populaire apps ontdekte ik hoe de smartphone vol privacygevoelige lekken zit.

Dit gebeurt er allemaal onder de motorkap van je smartphone

Ik hou van mijn smartphone. Mijn Samsung Note III is een venster op de wereld, mijn persoonlijke assistent die altijd klaarstaat met de juiste informatie. Waar en wanneer ik wil, lees en luister ik de beste journalistiek, bekijk ik informatieve en vermakelijke filmpjes, plan ik afspraken in en vind ik de weg in vreemde steden. Als ik ver van huis ben, warm ik mezelf op aan de foto’s van mijn kinderen en WhatsApp’jes met vrouw, vrienden en familie. En oh ja, ik bel er weleens mee.

Ja, ik hou van mijn smartphone, maar het apparaat is het laatste halfjaar een totale obsessie voor mij geworden. En een grote bron van frustratie.

Ruim een halfjaar geleden zochten colllega-correspondent Maurits Martijn en ik uit door welke bedrijven we browsend op een pc Lees hier: Big Business is watching you. worden gevolgd. We concludeerden dat ons internetgedrag continu door tientallen commerciële partijen bekeken wordt. Saillant was dat de verantwoordelijke websitebeheerders vaak niet op de hoogte waren welke Een tracker is een partij, meestal commercieel, die je internetgedrag probeert te volgen. hun publiek in de gaten hielden. Maar er was ook goed nieuws. Zelfs als niet-technische internetter kun je je nog aardig Lees hier: Hoe kun je trackers blocken? wapenen tegen dit volggedrag, bijvoorbeeld door cookies te blokkeren in je browser.

We wilden hetzelfde onderzoek uitvoeren op smartphones. Een smartphone is evengoed een computer, maar werkt heel anders dan een lap- of desktop. Een computer is relatief open. Je kunt er zelf programma’s voor schrijven en er op installeren wat je wilt. Een computer moet een alleskunner zijn. Maar toen Steve Jobs de iPhone lanceerde, was het gedaan met die openheid: ‘Wij bepalen alles wat op de telefoon wordt toegelaten,’ zei de grote roerganger tijdens de presentatie van de iPhone.

Smartphones zijn daarom helemaal dichtgetimmerd. Apple en Google bepalen welke apps je kunt downloaden. Het besturingssysteem, Dit verhaal neemt app-veiligheid in iOS en Android onder de loep. 70 procent van de smartphone-gebruikers heeft een Android-besturingssysteem, 20 procent een systeem van Apple. De resterende 10 procent (voornamelijk besturingssystemen van Windows) zijn niet meegenomen. bijvoorbeeld, bepaalt welke data die apps kunnen gebruiken. Je kunt swipen wat je wilt, je zal nergens zien wat dat besturingssysteem precies doet; wat die regels voor datagebruik precies behelzen.

Hoe een smartphone werkt, blijft verborgen onder de motorkap.

Na lang, heel lang zoeken is het gelukt die motorkap open te breken. Althans, grotendeels. Ik heb Ik ben met honderd apps begonnen, maar van vijftien apps lukte het niet om de beveiling te breken. Dit waren onder andere apps van Google, Facebook, Twitter, maar ook apps van banken. Jammer voor mijn onderzoek, maar het is goed nieuws voor de gebruikers dat deze apps zo moeilijk te kraken zijn.

De geteste apps zijn (in alfabetische volgorde): 9292, 3fm, 500px, Adobe Reader, Angry Birds, AntiVirus Security Free, Appie, Ball Travel 3D (Full Version), Bijenkorf, Boardrush & Friends, Buienalarm, Buienradar, Candy Crush Saga, Clash of Clans, Clean Master, Crack My Screen, Demolition Duke, Dragons World, Facebook Messenger, Farm Heroes Saga, Fingerpint Keypad Lock Screen, Foursquare, Funda, Google Earth, Google Translate, GTST, Hay Day, Hill Climb Racing, IMDb, Ingress, Instagram, Jelly Splash, KLM, Lingo Nederlands, LinkedIn, Little Ear Doctor, Marktplaats, McDonald’s, Meditate, Meta Magister, Moves, My Fitness Pal, Nail Doctor, Navfree, Netflix, Nikeplus, NOS, NOS Teletekst, NPO (Uitzending Gemist), NS Reisplanner Xtra, Nu.nl, Outlook.com, Papa Pear Saga, Pet Rescue Saga, POU, RTL XL, Run, Runtastic, Shazam, Skype, Sleep Cycle, Smash Hit, Snapchat, Spermy’s Journey, Spotify, Strava, Subprise, Subway Surfers, Swipepad, Telegraaf, Telegram, Temple Run 2, The Guardian, Tinder, Torch Tiny Flashlight, TVGids.tv, Viber, Waze, Weeronline, Where is my droid, WomanLog, Wordfeud Free, Wunderlist, Ziggo TV en Zite.

en duizenden datasporen gevolgd. Ik zag hoezeer mijn smartphone onderdeel is van een complex, internationaal web van commerciële datastromen, waarbij mijn data over de hele wereld vliegen en bij honderden verschillende bedrijven terechtkomen. En daar heb je nauwelijks invloed op. Uiteindelijk heb je weinig tot niets over je eigen data te zeggen.

De Bijenkorf vraagt toestemming

De motorkap kreeg ik open door een zogenoemde man-in-the-middle attack uit te Lees hier een uitgebreide methodologie. voeren met Charles, een programma dat door app- en webontwikkelaars Om te kijken of de app goed werkt en veilig is. Ik leidde het dataverkeer van mijn smartphone naar de router om via mijn laptop. Door een vals beveiligingscertificaat te installeren, kon ik ook beveiligd Dit klinkt allemaal spannender dan het is. Ik gebruikte hiervoor het programma Charles, dat door veel web- en appontwikkelaars wordt gebruikt. Ik volgde zo milliseconde voor milliseconde met welke servers mijn smartphone contact legde en welke informatie daarbij werd Een kleine relativering: ik kon niet alle informatie zien. Enkele JavaScripts werden bijvoorbeeld niet onderschept, terwijl daarin juist vaak relevante informatie staat.

En nog graag toestemming om mijn agenda te lezen, afspraken te plannen en wijzigen en zonder mijn medeweten mails kunnen sturen aan mensen die in mijn agenda staan

Een voorbeeld.

Ik installeer de Vijftig- tot honderdduizend keer gedownload. van De Bijenkorf. Voordat de installatie plaatsvindt, vraagt de Google Play Store of ik de app een aantal toestemmingen In de Google Play Store moeten apps eerst verschillende toestemmingen krijgen voordat ze geïnstalleerd kunnen worden. Daarover zo meer. De app wil graag netwerkinformatie kunnen zien - of ik op wifi zit bijvoorbeeld. Of hij gebruik mag maken van de trilfunctie en mag voorkomen dat het toestel in slaapstand sukkelt. De app wil graag gegevens op mijn geheugenkaart schrijven of wijzigen. Hij wil gebruik kunnen maken van de camera. Mijn precieze (gps) en ruwe Je smartphone heeft meestal een gps die vrij precies aangeeft waar je je bevindt. Maar je smartphone maakt ook contact met zendmasten in de buurt. Op basis van die signalen kan een zogenoemde driehoeksmeting plaatsvinden en zo je locatie worden bepaald, alleen wat minder precies dan bij gps. locatie weten. En: toestemming om mijn agenda te lezen, afspraken te plannen en te wijzigen en zonder mijn medeweten mails te kunnen sturen aan mensen die in mijn agenda staan.

Natuurlijk. Gaat uw gang, beste Bijenkorf. Alles voor het experiment.

Besprongen door commerciële trackers

Het is 11.47 uur. Ik druk op het Bijenkorf-icoontje. Nog voordat de app opent en de inhoud wordt geladen, plaatst Google een cookie op mijn toestel waardoor het bedrijf mij kan volgen. Kort daarna zie ik dat de Bijenkorf-app mijn toestel een unieke id geeft. Vanaf nu kan De Bijenkorf mij identificeren, ook als ik de app een tijd niet gebruik. Als ik de homepage van de app bekijk, meldt Google Analytics is een programma waarmee allerlei gegevens over bezoekers van websites worden bijgehouden. zich in Charles. In de zesde minuut dat ik de app gebruik, zal Google Analytics een trouwe vriend blijken die continu aan mijn zijde blijft.

Ik besluit een Bijenkorf Card aan te vragen. Om 11.48 maakt de app contact met een server in Seattle in Amerika. Die is van Amazon, maar wordt gehuurd door Intershop, een groot internationaal bedrijf dat De Bijenkorf helpt bezoekers realtime te analyseren. Ook statistiekbedrijf Shop2Market komt het toneel opgestormd om, net als Google Analytics, mijn kijkgedrag swipe na swipe te analyseren. Op het moment dat ik mijn account voor de Bijenkorf Card aanmaak, komt ook advertentiegigant Google Doubleclick even kijken wat ik aan het doen ben.

Eindelijk ben ik klaar om te shoppen. En dan gebeurt er iets geks.

Terwijl ik naar een luxe zwartlederen laptoptas kijk (meer dan 500 euro), wordt mijn smartphone besprongen door zeker achttien verschillende online advertentiebedrijven die allerlei data van en naar hun servers sturen. Het is een blitz-aanval. In één enkele seconde wordt contact gelegd met servers in de Verenigde Staten, Zweden, Duitsland, Ierland en Nederland van bedrijven die luisteren naar namen als Improve Digital, Admeta, Adtech, Metrigo, Burst Media, Yieldlab, Switch Concepts, AppNexus, Sociomantic, Adscale, Rubicon Project, OpenX, Smart Adserver en Casale Media.

Illustratie: Momkai

Illustratie: Momkai

Wat doen die trackers in mijn app?

Wat al deze trackers precies doen in deze app, is een heus mysterie. AppNexus is een platform voor real-time bidding, een flitsveiling waarin adverteerders in milliseconden tegen elkaar opbieden om mij een advertentie te Lees hier: Jouw aandacht wordt talloze malen aan de hoogste bieder verkocht. mogen leveren die bij mijn interesses aansluit. Een aantal andere bedrijven, zoals Admeta, Adtech, Burst Media en Rubicon Project, levert de techniek om te bieden.

Maar de Bijenkorf-app laat helemaal geen externe advertenties toe. Het zou nog kunnen dat deze bedrijven nu bieden om mij later, op andere websites, advertenties van De Bijenkorf te Retargeting heet dat en iedereen krijgt daar weleens mee te maken. Als je een keer een product hebt bekeken in een webwinkel, maar niet heb gekocht, zie je dat product telkens weer op andere sites in advertenties opduiken.

De app laadt de mobiele site in, waardoor ook de trackers automatisch worden meegeladen. Daar worden die trackers gebruikt om bezoekers te volgen

Maar ook dat is hier niet het geval, zegt woordvoerder Michel Bos van De Bijenkorf. Het warenhuis werkt alleen samen met Sociomantic, een bedrijf dat de retargeting van bekeken producten verzorgt. En dit is de enige tracker die in de privacy policy van de Bijenkorf-website wordt genoemd.

De verklaring is veel banaler. De app laadt de mobiele site in, waardoor ook de trackers automatisch worden meegeladen. Daar worden die trackers gebruikt om bezoekers te volgen. Volgens Bos zijn die trackers ‘functieloos.’ Ze registreren niets in de app. ‘We begrijpen dat hier verwarring over kan ontstaan bij experts en zullen binnenkort de app aanpassen zodat de gegevens niet worden opgeslagen. Dank dat je ons hier attent op Toch lijken de data iets anders te zeggen. Ik raadpleeg de Franse computerwetenschapper Lukasz Olejnik en volgens hem vindt hier ‘cookie matching’ plaats, een proces waarbij verschillende adverteerders informatie uitwisselen over een gevolgd persoon. Er zijn echter te weinig data om dit mysterie op te lossen.

Websites weten zelf niet wie hun publiek allemaal volgt.

Diarree en gevoelige borsten

Soms leidt die onwetendheid van app-aanbieders tot ronduit onveilige apps.

Op verzoek van een lezer test ik WomanLog, een app waarmee vrouwen inzicht kunnen krijgen in hun menstruatiecyclus. Die is wereldwijd meer dan 5 miljoen keer gedownload in de Google Play Store. De app toont een kalender waarin ik allerlei informatie over mijn lichaam Nepinformatie uiteraard, want doorgaans word ik niet geplaagd door menstruatieklachten. Vervolgens maak ik een back-up, een feature die app-maker Pro Active App in de gratis versie heeft ingebouwd.

In die back-up zit echter een veiligheidslek.

Want wat zie ik terug in Charles? Dat ik, volgens WomanLog, op 10 april seks had. Dat ik last heb van gevoelige borsten, diarree en mij hongerig voelde. Dat ik de pil gebruik en mij op 6 april verdrietig voelde. De meest intieme informatie vliegt onbeschermd door de ether. Iedereen die op hetzelfde wifi-netwerk zit, kan probleemloos dit soort informatie onderscheppen.

Van de 85 onderzochte apps vond twee derde van het dataverkeer zo open en GTST Quiz is een andere app die meer van je verraadt dan goed voor je is. In deze app kun je vragen beantwoorden over de eindeloos durende soap van RTL4. Je kunt ook een account aanmaken. Dat doe ik. In Charles zie ik meteen dat mijn gebruikersnaam en wachtwoord onversleuteld en onbeschermd worden verstuurd. Vorige week heb ik RTL4 hierover ingelicht. De zender reageerde heeft meteen actie ondernomen om dit beveiligingslek te dichten.

Veelzeggender dan je dna-profiel

Terug naar de trackers. Wie volgen jou op je smartphone, welke data kunnen ze onderscheppen en wat doen ze daarmee?

Op de 85 onderzochte apps vond ik 67 verschillende trackers. Ruim twee derde van die trackers wordt gebruikt door advertentiebedrijven. Zestien bedrijven leveren analytics-diensten: die bekijken dus hoe je je gedraagt op de app, waar je naar kijkt en waar je op klikt. Deze analytics worden doorgaans door de websites zelf gebruikt om inzicht te krijgen in hun bezoekers. Er is één bedrijf dat deze mobiele surveillance domineert: Google. Op de 85 apps kwam ik minstens 104 keer een tracker van Dat komt niet doordat ik gebruik maak van een Android-smartphone (Android is van Google). Ik heb het systeemverkeer uit mijn dataset gefilterd en niet meegeteld.

Een ander interessante tracker is Flurry, die ik op 25 apps ben Angry Birds, AntiVirus Security Free, Boardrush & Friends, Demolition Duke, Farm Heroes Saga, Funda, Hill Climb Racing, INgress, Little Ear Doctor, McDonald’s, Navree, Runtastic, Shazam, Skype, Snapchat, Spermy’s Journey, Strava, Subway Surfers, Swipepad, Temple Run 2, The Guardian, ROch Tiny Flashlight, Weeronline, Where is my droid, Wordfeud Free.

Flurry volgt gemiddeld zeven apps op 1,3 miljard smartphones en tablets. Iedere maand ziet en noteert het bedrijf 150 miljard keer dat een app, die Flurry volgt, wordt gebruikt

Naar eigen zeggen volgt Flurry gemiddeld zeven apps op 1,3 miljard toestellen (smartphones en tablets). Iedere maand ziet en noteert het bedrijf 150 miljard keer dat een app, die Flurry volgt, wordt gebruikt. Hiermee kan Flurry gedetailleerde gedragsprofielen opbouwen. ‘Your app signature is more distinctive than your DNA,’ pocht het bedrijf.

Maar Flurry verzamelt meer: locatiegegevens, identificatienummers van je toestel, taal, soort smartphone of tablet, telefoonaanbieder. Het biedt ook zogenoemde ‘Enhanced Personas’ aan. Dit zijn (potentiële) klanten over wie uit offline databases extra informatie wordt verzameld, zoals inkomen, aantal kinderen en reisvoorkeuren. Adverteerders kunnen die inzichten vervolgens kopen om zeer gerichte aanbiedingen te doen.

Flurry voert een nogal discutabel Over het algemeen hebben de grote trackers een professioneel privacybeleid. Google bijvoorbeeld volgt veel gedrag, maar heeft over het algemeen een redelijk goed privacybeleid. Er zijn veel waarborgen ingebouwd, de techniek deugt, data worden niet zomaar met externen gedeeld, er zijn duidelijke afspraken over hoe lang gegevens bewaard mogen worden, et cetera. blijkt uit onderzoek van Een organisatie die deels door middel van crowdsourcing het privacybeleid van bedrijven toetst. Het enige positieve dat deze organisatie hierover te zeggen heeft, is dat Flurry gebruikers anonimiseert. Maar in de online wereld is anonimiteit betrekkelijk. Als je iemand kunt blijven volgen aan de hand van een uniek identificatienummer maakt het niet uit of hij Pietje of Jantje heet. Je kan nog steeds een uitgebreid gedragsprofiel van iemand opbouwen.

Bovendien is Privacychoice.org kritisch over het feit dat Flurry zwijgt over hoe lang gegevens bewaard worden. De tracker sluit daarnaast niet uit dat er ook gevoelige gegevens worden opgeslagen, zoals bijvoorbeeld van gezondheidsapps. Het eindoordeel van Privacychoice.org is duidelijk: ‘Zorgelijk.’

Illustratie: Momkai

Illustratie: Momkai

WhatsApp-berichten stelen

Flurry doet iets wat niet de bedoeling is: het volgen van gebruikers door verschillende apps. Het besturingssysteem van de iPhone en Android-toestellen is erop gericht de datastromen van apps zoveel mogelijk te scheiden. Dit wordt ook wel sandboxing genoemd. App-aanbieders mogen alleen zien wat er in hun eigen app gebeurt.

Maar in de praktijk blijken die harde grenzen behoorlijk poreus. Bas Bosschert, een Nederlandse webontwikkelaar, Lees hier Bosscherts artikel: ‘Stealing WhatsApp database.’ toonde begin maart aan dat hij via een zelfgebouwde app de chats en berichten van WhatsApp kon ontfutselen op Android-toestellen.

En dat komt door de toestemming die wordt gebruikt bij het installeren van apps: ‘modify or delete the contents of your USB storage.’ In mijn onderzoek werd deze toestemming bij 58 van de 85 apps gevraagd.

Met deze toestemming heeft een app toegang tot je geheugenkaart. Veel apps hebben dat nodig. Spelletjes willen bijvoorbeeld scores kunnen opslaan. Een camera-app wil foto’s opslaan in het geheugen. Maar met deze toestemming kun je dus óók bij de opslag van andere apps komen.

Wat Android anders doet dan iOS

Dit roept de vraag op waar je eigenlijk toestemming voor geeft als je een app installeert.

Dit verschilt erg per besturingssysteem. Als je een app installeert op je iPhone geef je nergens Voor de juristen onder ons: je gaat inderdaad akkoord met de algemene voorwaarden en/of de End User License Agreement van Apple waar het installeringsproces van apps ongetwijfeld onderdeel van is. Pas als een app daadwerkelijk gevoelige data wil gebruiken, word je toestemming Stel dat Nu.nl je locatiegegevens wil gebruiken, dan krijg je een pop-up te zien waarin je toestemming daarvoor wordt gevraagd. Daarnaast hebben app-ontwikkelaars zich te voegen naar de nukken van Apple, vaak tot grote frustratie. Zo maakt Apple het steeds moeilijker om smartphones via hun unieke identificatienummer te volgen. Wie zich niet aan de regels houdt, komt de app store niet in, of wordt er rücksichtslos uit verwijderd.

Android werkt heel anders. Als je een app installeert, moet je van tevoren akkoord gaan met de zogenoemde ‘permissies’ die de app van je vraagt. Iedere app moet een Permission Manifest hebben waarin de verleende permissies staan opgesomd. Android zorgt er dan voor dat de app nooit méér data kan krijgen dan in het manifest staan, dus waar je toestemming voor hebt gegeven.

Wat moeten Angry Birds, LinkedIn, Shazam, Skype, Snapchat, TVGids en Viber bijvoorbeeld met je locatie?

Het Android-systeem is om verschillende redenen Waarbij ik niet wil zeggen dat het iPhone-systeem per se beter is. Maar die discussie gaat te ver voor dit artikel.

Ten eerste is het slikken of stikken. Je moet alles goedkeuren om de app te kunnen gebruiken. Het is logisch dat muziek-app Met Shazam kun je erachter komen wie een bepaald liedje heeft gemaakt. Als je de muziek hoort en niet (meer) weet van wie dat liedje is, kun je met Shazam de melodie opnemen. Die zoekt dan de artiest en het album erbij. toegang vraagt tot je microfoon en internet: hij moet immers een melodie horen en die vergelijken met zijn eigen database. Maar is het nodig dat Shazam je precieze locatie opslaat?

Ten tweede vragen apps vaak om onnodig toestemmingen. Toegang tot het internet bijvoorbeeld (vrijwel alle 85 onderzochte apps vragen daarom). Veel apps hebben dat niet nodig. En wat moeten Angry Birds, LinkedIn, Shazam, Skype, Snapchat, TVGids en Viber bijvoorbeeld met je locatie?

Waar geef je eigenlijk toestemming voor?

Het grootste probleem is dat je na dit permissiecircus nog steeds niets weet.

Ten eerste zwijgen de toestemmingen over alle trackers die een app laadt, maar die wel degelijk allerlei informatie van je opslurpen. Als je daar inzicht in wilt krijgen, moet je eerst de vaak lange privacy policy van de app doorlezen. Als die er al is.

Ten tweede, waar geef je nu eigenlijk toestemming voor? Wat betekent het dat een app jouw ‘Google service configuration’ kan lezen? Is het bezwaarlijk dat een app kan zien welke andere apps actief zijn? Voor een gewone gebruiker zal dit abracadabra zijn.

Ten derde zijn deze toestemmingen maar een deel van het verhaal: onder iedere permissie schuilen weer allerlei ‘subtoestemmingen.’ Via de app Lees hier meer over XPrivacy, een app die ik van harte aanbeveel aan Android-gebruikers. Xprivacy kan ik bijvoorbeeld zien dat de 85 onderzochte apps 53 keer mijn ‘hardware serial number Ik kan niet zeggen dat 53 van de 85 apps dit hebben opgevraagd, omdat 1 app mogelijk vaker het serial number heeft opgezocht. Dat zal waarschijnlijk niet zo vaak voor komen, maar ik kan dat op basis van de beschikbare data niet uitsluiten. Dit valt waarschijnlijk onder de categorie ‘personal information’, maar Het hardware serial number is een uniek en onveranderlijk nummer en zeer privacygevoelig. Het stelt apps namelijk in staat mij te volgen. Ze hebben niet mijn naam, maar aan het nummer kunnen ze mij telkens herkennen en zo een dossier opbouwen. In geen enkele Android-toestemming staat duidelijk omschreven dat dit unieke nummer wordt opgevraagd.

Illustratie: Momkai

Illustratie: Momkai

Jailbreaken en rooten

Het gebrek aan informatie is vervelend. Echt frustrerend is dat het zo moeilijk is controle te krijgen Eind vorig jaar leek het even mogelijk bepaalde toestemmingen te weigeren, eigenlijk net zoals dat op een iPhone mogelijk is. Google lanceerde App Ops. Deze app werd al snel uit de Google Play Store verwijderd. Volgens Google was sprake van een fout: de permissie-app zou nog in een testfase zitten.

Dat kan een valide argument zijn. Als je een app toestemming verleent en vervolgens de data blokkeert, kan die vastlopen. Maar Google heeft eigenlijk ook geen belang bij App Ops. Google is in de kern een advertentieboer. Het blokkeren van de datastromen schaadt het businessmodel van Google. En ook Apple beweegt steeds meer die richting uit met zijn advertentietak iAd.

Die spanning tussen commercie en privacy zie je terug in de lancering van de advertising id, in zowel iOS als Android. Apple dwingt adverteerders gebruik te maken van dit unieke id. Dat lijkt privacyvriendelijk, apps mogen je niet meer op andere manieren identificeren, maar dat is het niet. De advertising id is namelijk onveranderlijk en permanent: je kunt er als gebruiker niet vanaf.

Google biedt sinds enkele maanden ook een advertising id aan, maar heeft die nog niet verplicht gesteld voor adverteerders. Deze id is stiekem en in stilte ingevoerd. Je kunt de id uitschakelen, maar hij staat standaard aan.

Paradoxaal genoeg moet je de beveiliging van je smartphone dus breken om je eigen data beter te beschermen. Maar dat gaat niet zonder slag of stoot.

De terminologie is veelzeggend. Als je meer zeggenschap wilt over je iPhone, moet je hem ‘jailbreaken.’ Een Android-toestel moet je ‘rooten.’ Dit vereist echter flink wat Het komt erop neer dat je de motorkap openbreekt, rechtstreeks toegang krijgt tot het besturingssysteem en een aantal voorgeschreven ontwerpregels uitschakelt. Jailbreaking en rooten maken het bijvoorbeeld mogelijk om software te downloaden buiten de officiële app-stores om. Zoals Permission managers die wel goed werken. Maar ook apps die door Apple en Google zijn gecensureerd. En als het misgaat, zit je met een probleem: de garantie op je smartphone vervalt. Apple heeft zelfs via de rechter geprobeerd een verbod op jailbreaking af te dwingen.

Je intieme smartphone

Is dit gebrek aan controle erg?

Als je erg bezorgd bent over je privacy, dan moeten smartphones een gruwel zijn. Je hebt als gewone gebruiker geen zicht op wie met welke data aan de haal gaat. Daarnaast heb je nauwelijks mogelijkheden om die datastromen af te knijpen of te sturen.

Een smartphone is méér dan een telefoon. Een smartphone is een krachtige pc. En heel intiem. Hij houdt bij wat je doet, waar je bent, met wie je communiceert, hoe je reist, waar je naar kijkt en luistert, wat je leest, wie je leuk vindt, wat je graag doet. En onze smartphones komen steeds dichter op onze huid te zitten. Letterlijk. Je draagt straks wellicht een Google Glass op je neus. Onlangs is er een Android-versie opgeleverd voor wearables, zoals slimme horloges. Deze wearables zullen ook weer allerlei data opzuigen Niet overtuigd? Lees dan dit verhaal: Hoe je onschuldige smartphone bijna je hele doorgeeft aan de geheime dienst. over je gedrag.

Die nieuwe rijkdom aan data maakt het voor advertentiebedrijven mogelijk meer gedetailleerde profielen op te bouwen. Omdat er zoveel gedragsdata worden onderschept, zijn er steeds meer mogelijkheden voor manipulatie. Advertentiebedrijven meten waar en op welke sites ze je het beste kunnen bestoken, op welke momenten je het meest geneigd bent iets te kopen. Als één bedrijf dat doet, is dat niet zo problematisch. Als honderden bedrijven je continu proberen te sturen, thuis, onderweg en op je lijf, krijg je een Lees hier het verhaal van Maurits Martijn: ‘Hoe reclameman Don Draper het aflegt tegen Big Data.’ andere discussie.

Volgens Frederik Borgesius, promoverend internetjurist aan de UvA, is smartphonesurveillance totaal uit de hand gelopen. Hij durft wel te stellen dat via smartphones de Europese wetgeving (grotendeels uit 1995!) grootschalig wordt geschonden. Hij schetst het dilemma. ‘Wie moet daar tegen optreden? Privacytoezichthouder College Bescherming Persoonsgegevens heeft slechts enkele tientallen werknemers Vorige week werd YD, een Nederlandse online tracker, de wacht aangezegd door het CBP. Maar dat onderzoek nam drie jaar in beslag. Een eeuwigheid in de razendsnelle wereld van internetcommercie. Waarschijnlijk helpen alleen zeer hoge boetes. Daar wordt nu in Brussel aan gewerkt.’

Een belangrijker probleem, aldus Borgesius, is wellicht de smartphonegebruiker zélf die overal maar ‘ja’ op klikt. De vraag die al jaren wordt gesteld, maar waar nog steeds geen goed antwoord op lijkt te bestaan, is deze: hoe zorg je ervoor dat de gebruiker een geïnformeerde én gebruiksvriendelijke én echte keuze kan maken?

Smartphonesurveillance is een politiek probleem

Tot slot is het gebrek aan controle ook een dringende politieke kwestie. The Washington Post onthulde begin dit jaar dat de National Security Agency (NSA) gulzig smartphones leegtrok, op zoek naar locatiedata, contactgegevens en Lees hier het stuk in The Washington Post. belgeschiedenissen. De NSA maakt ook gebruik van advertentienetwerken en gebruikt bijvoorbeeld commerciële cookie-data om smartphonebezitters te volgen. The Guardian Lees hier het verhaal in The Guardian. onthulde dat data van het spelletje Angry Birds, verwerkt door advertentiebedrijf Millennial Media, ook systematisch werden onderschept. De NSA kon hiermee op grote schaal mensen online volgen.

Gebruiksgemak en schoonheid brengen kosten met zich mee die we nog niet goed kunnen beprijzen

Bij het maken van dit verhaal moest ik daarom vaak denken aan het boek Je kunt het boek hier gratis downloaden. The Future of Internet and how to stop it  van Jonathan Zittrain, een invloedrijke internetjurist aan het Massachusetts Insitute of Technology. Hij schrijft: ‘The iPhone is both a product of fashion and fear.’ En dat geldt net zo goed voor Android.

Smartphones zien er mooi uit. Ze werken. Doen wat ze moeten doen. En kunnen waarschijnlijk nog veel meer dan we weten. Maar gebruiksgemak en schoonheid brengen kosten met zich mee die we nog niet goed kunnen beprijzen.

Ja, ik hou nog steeds van mijn smartphone. Maar de liefde is wel aanmerkelijk bekoeld.

Ik kon dit artikel niet schrijven zonder hulp van de volgende personen, die ik bij dezen wil bedanken: Maurits Martijn, Lysander Vogelzang, Tieme van Veen, Marcel Bokhorst, Guido Rus, Mark Steenbakkers, James Sellwood, Lukasz Olejnik, Michael Bevz, Jeroen van Raalte en Manon van den Brekel.

Hoe ik het smartphone-onderzoek heb uitgevoerd Dit was technisch een moeilijk verhaal om te maken. In deze update beschrijf ik in detail hoe ik het onderzoek heb uitgevoerd en welke afwegingen ik heb gemaakt. Voor de liefhebber. Lees hier hoe ik het onderzoek gedaan heb

Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Lees het stuk over trackers op pc’s en laptops hier terug.

Nee, je hebt wél iets te verbergen In discussies over privacy duikt steeds dit argument op: 'Ik heb niets te verbergen'. Waarom zou je je dan zorgen maken over de NSA of Facebook? Rob Wijnberg en Maurits Martijn geven elf redenen waarom dit een fundamenteel verkeerd argument is. Lees het betoog van Rob en Maurits hier terug

Nieuwsgierig hoe de foto bij dit stuk is gemaakt? Fotograaf Rein Janssen werkte de afgelopen weken in zijn studio aan de foto's die bij de verhalen van Dimitri Tokmetzis en Maurits Martijn over de online advertentiemarkt zijn gepubliceerd. En daarvoor ging hij veel meer analoog te werk dan zijn foto's misschien doen vermoeden. Lees hier hoe Rein Janssen de foto’s heeft gemaakt