Ondanks alle mooie praatjes van Apple over hoe privé je iPhone is, verzamelt het bedrijf een heleboel gegevens over je. iPhones hebben een privacy-instelling die het volgen zou moeten uitschakelen. Volgens een nieuw rapport van onafhankelijke onderzoekers verzamelt Apple echter zeer gedetailleerde informatie over je met zijn eigen apps, zelfs als je het volgen uitschakelt. Dit is in tegenspraak met Apple's eigen beschrijving van hoe de privacybescherming werkt.
De iPhone Analytics-instelling doet een expliciete belofte. Schakel deze uit en Apple zegt dat het "het delen van Device Analytics volledig zal uitschakelen". Tommy Mysk en Talal Haj Bakry, twee app-ontwikkelaars en beveiligingsonderzoekers bij het softwarebedrijf Mysk, hebben echter gekeken naar de gegevens die worden verzameld door een aantal iPhone-apps van Apple, zoals de App Store, Apple Music, Apple TV, Books en Stocks. Ze ontdekten dat het analysebeheer en andere privacy-instellingen geen duidelijk effect hadden op de gegevensverzameling door Apple - het volgen bleef hetzelfde, of iPhone Analytics nu aan of uit stond.
"Het detailniveau is schokkend voor een bedrijf als Apple," vertelde Mysk aan Gizmodo.
De App Store bleek informatie te verzamelen over alles wat je in realtime deed, inclusief waar je op tikte, naar welke apps je zocht, welke advertenties je zag en hoe lang je naar een bepaalde app keek en hoe je die vond. De app stuurde ook details over jou en je apparaat, waaronder ID-nummers, wat voor soort telefoon je gebruikt, de resolutie van je scherm, de talen van je toetsenbord, hoe je verbonden bent met het internet - met name het soort informatie dat vaak wordt gebruikt voor het maken van vingerafdrukken van apparaten.
Het detailniveau is schokkend voor een bedrijf als Apple
"Opt-out of het uitschakelen van de personalisatieopties verminderde de hoeveelheid gedetailleerde analyses die de app verstuurde niet," aldus Mysk. "Ik schakelde alle mogelijke opties uit, namelijk gepersonaliseerde advertenties, gepersonaliseerde aanbevelingen en het delen van gebruiksgegevens en analyses."
Apple heeft niet gereageerd op meerdere verzoeken om commentaar.
Gizmodo vroeg Mysk om een paar andere Apple apps ter vergelijking te onderzoeken. De onderzoekers zeiden dat de apps Gezondheid en Portemonnee bijvoorbeeld helemaal geen analysegegevens verstuurden, ongeacht of de iPhone Analytics-instelling aan of uit stond, terwijl Apple Music, Apple TV, Boeken, de iTunes Store en Voorraden dat wel deden. De meeste apps die analytische gegevens verstuurden, deelden consistente ID-nummers, waardoor Apple je activiteit in al zijn diensten zou kunnen volgen, zo ontdekten de onderzoekers.
De app Stocks stuurde Apple bijvoorbeeld je lijst met bekeken aandelen, de namen van aandelen die je hebt bekeken of gezocht en tijdstempels voor wanneer je dat hebt gedaan, evenals een record van alle nieuwsartikelen die je in de app ziet, volgens de analyse van Mysk voor Gizmodo. De informatie werd verzonden naar een webadres met het label analytics, https://stocks-analytics-events.apple.com/analyticseventsv2/async. Die verzending stond los van de iCloud-communicatie die nodig is om je gegevens te synchroniseren tussen apparaten. In tegenstelling tot de andere apps stuurde Stocks echter verschillende ID-nummers en veel minder gedetailleerde apparaatinformatie.
De onderzoekers controleerden hun werk op twee verschillende apparaten. Eerst gebruikten ze een jail broken iPhone met iOS 14.6, waardoor ze het verkeer konden ontsleutelen en precies konden onderzoeken welke gegevens er werden verzonden. Apple introduceerde App Tracking Transparency in iOS 14.5, waarbij gebruikers kunnen beslissen of ze hun gegevens wel of niet aan individuele apps willen geven met de prompt "Ask app not to track?".
De onderzoekers onderzochten ook een gewone iPhone met iOS 16, het nieuwste besturingssysteem, wat hun bevindingen bevestigde. Er is weinig reden om te denken dat de telefoon met een jailbreak andere gegevens zou versturen, zeiden ze, maar op iOS 16 zagen ze dat dezelfde apps vergelijkbare gegevenspakketten naar dezelfde Apple webadressen stuurden. De gegevens werden op dezelfde tijden en onder dezelfde omstandigheden verzonden en het in- en uitschakelen van de beschikbare privacy-instellingen veranderde niets. De onderzoekers konden niet precies onderzoeken welke gegevens werden verzonden omdat de versleuteling van de telefoon intact bleef, maar de overeenkomsten suggereren dat dit mogelijk standaardgedrag is op de iPhone.
Het in de gaten houden van je gedrag stoort sommige mensen, ongeacht de informatie in kwestie. Maar deze gegevens kunnen gevoelig zijn. In de App Store bijvoorbeeld kan het feit dat je apps bekijkt die te maken hebben met geestelijke gezondheid, verslaving, seksuele geaardheid en religie dingen onthullen die je misschien niet naar bedrijfsservers wilt sturen.
Het is onmogelijk om te weten wat Apple met de gegevens doet zonder de uitleg van het bedrijf zelf, en zoals zo vaak het geval is, heeft Apple tot nu toe gezwegen. Het is heel goed mogelijk dat Apple de gegevens niet gebruikt als je de instellingen uitschakelt, maar zo legt het bedrijf in zijn privacybeleid niet uit wat de instellingen doen.
Je kunt zelf zien hoe de gegevens eruit zien in de video die Mysk op Twitter heeft gezet, waarin de informatie die de App Store verzamelt wordt gedocumenteerd:
De App Store op je iPhone houdt elke beweging van je in de gaten
Dit is geen situatie waarbij elke app me volgt, dus wat is er nog meer? Deze bevindingen komen niet overeen met de standaardpraktijken in de industrie, aldus Mysk. Hij en zijn onderzoekspartner hebben in het verleden soortgelijke tests uitgevoerd met analytics in Google Chrome en Microsoft Edge. In beide apps worden de gegevens niet verzonden als de analyse-instellingen zijn uitgeschakeld, zegt Mysk.
Gaandeweg heeft Apple een handige definitie van privacy ontwikkeld
Privacy is een van de belangrijkste punten waarop Apple zijn producten zegt te onderscheiden van de concurrentie. Het bedrijf heeft billboards van 25 meter hoog waarop de iPhone wordt vergezeld door de eenvoudige slogan "Privacy. That's iPhone." Apple liet de advertenties maandenlang over de hele wereld tonen. Apple werkt hard aan het opbouwen van een advertentie-imperium. Het advertentienetwerk van Apple draait op jouw persoonlijke informatie, net zoals Google en Meta dat doen, zij het op een meer clandestiene manier.
Gaandeweg heeft Apple een handige definitie van privacy ontwikkeld waarmee het bedrijf de privacypraktijken van zijn rivalen kan bekritiseren terwijl het jouw gegevens verzamelt voor soortgelijke doeleinden. Apple zegt dat je wat het bedrijf doet niet moet zien als "traceren". Volgens de website van het bedrijf:
"Het advertentieplatform van Apple traceert je niet, wat betekent dat het geen gebruikers- of apparaatgegevens die via onze apps zijn verzameld, koppelt aan gebruikers- of apparaatgegevens die van derden zijn verzameld voor gerichte reclame of reclamemeting, en dat het geen gebruikers- of apparaatgegevens deelt met data-handelaars."
Met andere woorden, het is geen tracking, tenzij je gegevens koppelt die zijn verzameld van services die eigendom zijn van verschillende bedrijven. Als slechts één bedrijf - Apple - de gegevens verzamelt, dan is het volgens de definitie van Apple geen tracking. Natuurlijk is dat anders dan de definitie van tracking die iedereen lijkt te gebruiken.
Het is geen verrassing dat Apple analytische informatie verzamelt; de praktijk is vastgelegd in het privacybeleid, en bijna elke app en elk apparaat dat je gebruikt maakt waarschijnlijk gebruik van je gegevens voor analyses. Maar Mysk zegt dat hij verbijsterd was over het detailniveau. "Ik had verwacht dat een bedrijf als Apple, dat gelooft dat privacy een fundamenteel mensenrecht is, meer algemene analytische gegevens zou verzamelen," aldus Mysk.