Afgelopen december hebben we vernomen dat overheden en wetshandhavingsinstanties uw smartphone-activiteit kunnen bespioneren door uw pushmeldingsgegevens op te vragen bij Apple of Google. Zo cool en onverschillig! Maar het blijkt dat het niet alleen de autoriteiten zijn die uw pushmeldingsgegevens kunnen verwijderen: apps doen het ook, zonder dat u de app überhaupt hoeft te openen. Maar je kunt er een einde aan maken.
Hoe apps u bespioneren via uw pushmeldingen
Zoals beveiligingsonderzoeksduo Mysk in deze video uitlegtDe apps maken gebruik van een kwetsbaarheid in iOS-meldingen om persoonlijke gegevens op uw iPhone te verzamelen en terug te sturen naar externe servers. Zo werkt het: iOS zorgt ervoor dat apps op de achtergrond kunnen waarschuwen wanneer er pushmeldingen binnenkomen, zodat de app de payload (het bericht in de melding) kan ontsleutelen of de gegevens kan downloaden die aan de melding zijn gekoppeld. Maar volgens Mysk gebruiken veel ‘data-hongerige’ apps dit als een kans om data-analyses naar hun servers te sturen, in plaats van alleen maar netwerkoproepen te doen om meldingen aan te passen, zoals verwacht.
Afgezien van het feit dat het een onopvallende praktijk is, kan het misbruiken van de downtime van deze pushmeldingen feitelijk worden gebruikt om gebruikers te ‘vingerafdrukken’ (d.w.z. te volgen). Mysk legt uit hoe wanneer een TikTok-melding binnenkomt, de app onmiddellijk data-analyses verzendt. Wanneer Mysk de melding wist, verzendt TikTok meer gegevens, inclusief de uptime van het systeem (hoe lang iOS op uw iPhone draait). Dit betekent dat TikTok kan zien hoe lang het geleden is dat je iPhone opnieuw is opgestart, ook al heb je de app niet daadwerkelijk geopend.
Iets soortgelijks gebeurt met meldingen voor Facebook, Zoals beschreven in een bericht op XAndere apparaatgegevens omvatten lokale instellingen (de taalinstellingen van uw apparaat), toetsenbordtaal, beschikbaar geheugen, batterijstatus, apparaatmodel, schermhelderheid en meer. In theorie kunnen deze gegevens volgens Mysk worden gebruikt om de activiteiten van een gebruiker op iOS bij te houden zonder dat je de betreffende app daadwerkelijk opent.
Hoe u kunt voorkomen dat apps uw activiteit volgen via pushmeldingen
Op dit moment ligt de enige bekende oplossing het meest voor de hand: schakel pushmeldingen voor alle apps uit. Het is dezelfde oplossing die we aanboden toen we hoorden dat rechtshandhavingsinstanties en overheden gebruikersmeldingsgegevens konden opvragen bij Apple en Google: sluit eenvoudigweg de toegang af tot de gegevens die deze bedrijven het meest willen.
Natuurlijk is dit makkelijker gezegd dan gedaan. Meldingen kunnen handig zijn, vooral bij berichtenapps die u laten weten wanneer er een nieuw sms-bericht binnenkomt. Als u pushmeldingen voor deze apps uitschakelt, loopt u het risico ver achterop te raken in groepsberichten en persoonlijke gesprekken, waardoor u een groot deel van het doel van het dragen van een smartphone in de eerste plaats tenietdoet.
Dat betekent dat het echt aan u is: welk niveau van datatracking kunt u zich veroorloven? Mijn aanbeveling is om meldingen uit te schakelen voor elke app die je je kunt veroorloven. Ik laat Snapchat-meldingen altijd uit, bijvoorbeeld omdat ik de app handmatig kan controleren op nieuwe snaps (bonus: ik kan niet staat op Irritante, irrelevante meldingen waar Snapchat mij graag mee spamt, en ik snap ze niet). Ik houd meldingen ingeschakeld voor mijn berichtenapps, want zelfs als Meta mijn gegevens verwijdert, wil ik geen nieuwe meldingen van vrienden en familie missen.
Hopelijk zal Apple dit privacy- en beveiligingsprobleem snel aanpakken en voorkomen dat apps deze informatie kunnen lekken wanneer er een pushmelding binnenkomt. Tot die tijd is onze enige optie om te voorkomen dat deze apps ons überhaupt waarschuwen.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”