Diverse iPhone-apps maken stiekem schermopnamen van je activiteiten

Enkele veelgebruikte iPhone-apps hebben met gedetailleerde schermopnames de activiteiten van hun gebruikers geregistreerd, zonder hen hiervan op de hoogte te stellen. Gevoelige informatie, waaronder creditcardgegevens, bleek in sommige gevallen slecht beveiligd.

De app van Hotels.com

Het gaat onder meer om de apps van reisorganisaties Expedia en Hotels.com, kledingmerk Hollister en vliegmaatschappij Air Canada. Apple maant de bedrijven de opnamefunctie te verwijderen of duidelijk te maken aan gebruikers dat hun activiteiten worden opgenomen. Anders dreigt verwijdering uit de appstore van Apple, omdat ze niet aan de voorwaarden voldoen.

Technieuwssite TechCrunch, die de praktijken onthulde, nam de iPhone-apps onder de loep van klanten van Glassbox. Dat bedrijf biedt een dienst aan, de zogeheten ‘session replay’, die het mogelijk maakt om de activiteiten van gebruikers terug te spoelen. In feite gaat het om opnames van het appgebruik, waarbij precies te zien is wat gebruikers aanklikken en intypen en hoe lang ze op verschillende pagina’s blijven. De bedrijven konden alleen meekijken in hun eigen apps, verdere telefoonactiviteiten waren onzichtbaar.

Doel van de verzamelde informatie is de gebruikerservaring te verbeteren of eventuele fouten in de app op te sporen. In dit geval vergaloppeerden de bedrijven zich in hun dataverzameldrift, met name omdat ze er geen toestemming voor vroegen. Ook stond het maken van dergelijke opnames niet in hun privacybeleid vermeld.

Paspoortnummers

Bovendien werden persoonlijke data in de opnames weliswaar gemaskeerd, maar dat ging niet in alle gevallen goed, zag TechCrunch. Enkele keren waren mailadressen en postcodes zichtbaar. Uit de opnames van de iPhone-app van Air Canada waren zelfs paspoortnummers en creditcardgegevens te achterhalen. Extra pikant omdat diezelfde app van Air Canada afgelopen augustus kampte met een datalek, waardoor gegevens van 20 duizend mensen tijdelijk bereikbaar waren.

Ook voor apps voor Android, het besturingssysteem van Google waarmee vrijwel alle telefoons werken die niet van Apple zijn, is de dienst van Glassbox beschikbaar. Het is nog onduidelijk of ook Google stappen onderneemt.

Opnames van individuen in apps of op websites zijn niet nieuw. In 2017 waarschuwden onderzoekers van de Universiteit van Princeton voor zulke praktijken op websites. 482 van de 50 duizend veelgebruikte websites die zij onderzochten, gebruikten toen een dergelijke dienst.

Muisbewegingen

Websites registreerden onder meer muisbewegingen en ingevoerde tekst, ook als die niet werd verzonden. In enkele gevallen waren zelfs mailadressen, wachtwoorden en creditcardgegevens te achterhalen, schrijven de onderzoekers. Verschillende bedrijven haalden de functie hierop van hun website, waaronder kledingwinkel Bonobos en softwarebedrijf Walgreens.

Eind januari bleek dat Facebook jongeren 20 dollar per maand betaalde om hun telefoongedrag vrijwel zonder beperkingen te volgen, onder de noemer van een onderzoeksproject. Dezelfde week kwam naar buiten dat Google een soortgelijk project had lopen, waarbij telefoongebruikers Google lieten meekijken in ruil voor cadeaubonnen.

Apple reageerde fel en ontzegde Facebook en Google tijdelijk de mogelijkheid om buiten de appstore om testversies en interne apps te installeren op het Apple-besturingssysteem, iOS. Daarmee blokkeerde Apple niet alleen de meekijkprogramma’s, maar kwamen ook testversies van onder meer Facebook Messenger en Instagram in de problemen.

Datalekken en privacyschendingen

Onze privacy wordt geschonden, elke dag, en het is helemaal niet nodig dat met post-apocalyptische complottheorieën te illustreren, schrijft techredacteur Laurens Verhagen.

Nooit eerder kwamen zoveel gegevens op straat te liggen als tijdens de massale datadump die Collection #1 is gedoopt. Aanzienlijke kans dat ook jouw gegevens er tussen staan.

Op de hoogte van de laatste technieuwtjes blijven? Volg ons techblog.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.