'Apples nieuwe regels gaan fingerprinting door Facebook en Google niet tegen'
Apple kwam vorige week met nieuwe regels om device fingerprinting tegen te gaan, maar in de praktijk blijkt dat de apps van Facebook, Google, Instagram, Spotify en Threads zich hier niet aan te houden, zo stellen onderzoekers Talal Haj Bakry en Tommy Mysk. Door de regels niet te handhaven geeft Apple gebruikers een vals gevoel van privacy, aldus het duo.
Eind april kondigde Apple aan dat vanaf 1 mei strengere regels gaan gelden voor apps. Zo moeten app-ontwikkelaars laten weten waarom ze gebruikmaken van API's (application programming interfaces) waarmee unieke 'apparaatsignalen' zijn te verzamelen. Via dergelijke data is het mogelijk om een unieke fingerprint van het apparaat van de gebruiker te maken en die zo over verschillende apps van verschillende ontwikkelaars te volgen.
Apple zal apps die het gebruik van dergelijke API's niet in hun privacymanifest beschrijven weigeren. Bakry en Mysk ontdekten dat Facebook, Google Chrome, Instagram, Spotify en Threads zich niet aan hun verklaarde redenen houden. Voor hun onderzoek analyseerden de onderzoekers het netwerkverkeer van deze apps na 1 mei. Daarbij keken ze specifiek naar de API waarmee de boot time of system uptime wordt verzameld. "Gecombineerd met andere signalen is het met de system uptime mogelijk om een zeer nauwkeurige fingerprint van een toestel te maken."
In de door Apple goedgekeurde redenen voor het verzamelen van informatie wordt aangegeven dat de data niet vanaf het toestel naar andere partijen mag worden gestuurd, maar dat blijken de genoemde apps nog altijd wel te doen. Volgens de onderzoekers is het een goede start in het stoppen van fingerprinting om ontwikkelaars te verplichten waarom ze de API's willen gebruiken. "Het geeft alleen een vals gevoel van privacy. Apple heeft geen mechanisme om te handhaven wat ontwikkelaars verklaren", besluiten de onderzoekers.
Heel typisch voor Apple om dat zo te doen.
First-party spying.
Dat is de essentie van Apple.
surprised Pikachu face :D
En deze afwegingen moeten voor alle datavelden die mijn OS of browser zomaar weggeeft gemaakt worden.
Geen idee waarom de gegevens zo veel waard zijn.
Vraag me af hoeveel winst de aa merken maken als ik juist door hun ads het b-merk haal.
Hou ze hier dom voor.
Dan valt er meer en gemakkelijker
aan ze te verdienen.
Dus nog meer tandeloze waakhonden
en nog minder bereidheid bij overheden
hier substantieel zich uit te spreken,
want je gaat in de politiek om niet arm te blijven.
Nee, als je de onderzoeksresultaten leest geeft TikTok volledige toegang tot de verzamelde data van de westerse gebruikers en deze data viel voor de onderzoekers erg tegen. TikTok bleek veel braver dan de westerse bedrijven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
