Apple schaft toegang tot UDID af: goed voor jouw privacy?
Vanwege recente druk op haar privacybeleid gaat Apple met de komst van iOS 5 een aantal functies aanpassen. Onder andere de toegang voor app-ontwikkelaars en adverteerders tot de Unique Device Identifier (UDID) wordt afgeschaft. Een UDID is een soort uniek ‘hardware’ adres van je iPhone of iPad. Met een UDID kunnen app-ontwikkelaars en adverteerders je identificeren, je app-gebruik volgen en gericht advertenties naar je sturen. Er is al regelmatig kritiek geweest op de gevolgen van het UDID voor de privacy van gebruikers. Het nieuwe beleid van Apple lijkt dus een positieve ontwikkeling voor jouw privacy. Maar zal dat in de praktijk ook zo uitpakken?
Wat is een UDID?
Een UDID is een alfanumerieke reeks die uniek is voor elke iPhone of iPad. Je kan je eigen UDID vinden door je iPhone aan te sluiten op je computer, iTunes te openen en bij ‘devices’ te klikken op ‘serial number’. Jouw UDID wordt dan weergegeven. In principe ben je niet direct te identificeren aan de hand van je UDID: het is een string nummers die uniek is voor jouw iPhone. Er zijn echter veel apps die naast je UDID ook andere gegevens opslaan, zoals je naam, adres, gebruikersnaam en andere persoonlijke informatie. In dat geval ben je als gebruiker wel te identificeren. En ook zonder identificerende gegevens kun je op basis van je UDID worden geïndividualiseerd en onderscheiden van andere iPhone gebruikers als unieke gebruiker.
Via je UDID kunnen app-ontwikkelaars volgen welk gebruik je maakt van je iPhone. Deze informatie is ook interessant voor adverteerders en advertentienetwerken. Zij kunnen deze informatie gebruiken om je online gedrag en gebruik van apps te monitoren en op basis van die informatie een profiel over je samen te stellen. Door middel van je UDID kunnen adverteerders je namelijk van app naar app volgen. Zo kunnen adverteerders informatie verzamelen over jouw app-gebruik, zoals welke apps je het meeste gebruikt, om vervolgens gerichte advertenties te sturen. Een UDID werkt daarbij als een soort “supercookie.” Net als met cookies wordt jouw online gedrag getraceerd. Maar in tegenstelling tot cookies op je computer kan een UDID niet worden verwijderd.
Privacy risico’s van UDID
Het gebruik van UDID’s door app-ontwikkelaars en adverteerders brengt volgens onderzoek (pdf) verschillende privacy-risico’s met zich mee. En die risico’s zijn in de ‘mobiele wereld’ in veel opzichten groter dan op je vaste pc. Je hebt je mobiele telefoon altijd bij je en hij staat altijd aan. Je UDID draag je dus overal mee naartoe. Bovendien zit het in het meest persoonlijke apparaat dat je bezit: op je iPhone of iPad heb je veel persoonlijke informatie opgeslagen van jezelf, maar ook van je vrienden, familie en kennissen. Denk bijvoorbeeld aan je adresboek.
Recent nog raakten apps Path en Foursquare in opspraak omdat ze ongevraagd en onopgemerkt hele adresboeken, inclusief telefoonnummers en e-mailadressen, naar hun eigen servers uploadden. Daarnaast zou social gaming netwerk Zynga UDID’s gebruiken om aan informatie te komen van hun gebruikers, zoals telefoonnummers en e-mailadressen.
Door de groeiende aandacht voor privacyschendingen en het verscherpen van wetgeving rond privacy, wordt het bewustzijn van het belang van het beschermen van persoonlijke gegevens op mobiele telefoons steeds groter. Naar aanleiding van Paths privacyschendingen is het Congres van de Verenigde Staten een onderzoek gestart naar privacy in apps.
Ook Apple is er meerdere keren van beschuldigd dat het de privacy van haar gebruikers heeft geschonden. Zo is Apple aangeklaagd voor het doorspelen van persoonlijke informatie van gebruikers naar adverteerders. Door extra controle op het gebied van privacy is Apple, volgens Techcrunch, afgelopen week vervroegd begonnen met het weigeren van toegang tot UDID.
Wat gaat dit voor jou als gebruiker betekenen?
App-ontwikkelaars maken nu nog massaal gebruik van het UDID om app-gebruikers te identificeren en informatie over hun gedrag te verkrijgen. Nu Apple dit niet meer toestaat zullen ontwikkelaars dus met een alternatief moeten komen.
In een document van Apple Developer staat hierover het volgende:
“Deprecated in iOS 5.0. uniqueIdentifier,
An alphanumeric string unique to each device based on various hardware details. (read-only) (Deprecated in iOS 5.0. Instead, create a unique identifier specific to your app.).”
Met andere woorden: het UDID wordt vervangen in iOS 5 en app-ontwikkelaars wordt geadviseerd een eigen identificatienummer, dat uniek is voor hun app, te creëren. Als elke app een eigen identificatienummer krijgt zou dat een verbetering voor jouw privacy betekenen. Je iPhone of iPad wordt niet langer herkend door de app. En wanneer je van app naar app gaat, laat je geen sporen meer achter die voor advertentienetwerken interessant kunnen zijn. Daarnaast wordt het voor app-ontwikkelaars onmogelijk om te achterhalen of een gebruiker gestopt is met het gebruiken van hun app, of dat hij de app opnieuw heeft geïnstalleerd.
Hoewel Apple hiermee een goede stap zet richting een betere bescherming van persoonlijke gegevens, is het nog afwachten wat app-ontwikkelaars voor alternatieve methodes gaan bedenken om hun gebruikers te identificeren en traceren. De vraag is dus of Apple’s verandering enig effect zal hebben op het probleem van apps die zonder jouw besef informatie verzamelen. De verantwoordelijkheid hiervoor zou ook bij de ontwikkelaars zelf moeten liggen en niet alleen bij Apple. Ontwikkelaars kunnen zich nog veel beter bewust zijn van implicaties van hun apps voor de privacy van hun gebruikers en de wetgeving en regels op dit gebied. Bovendien kunnen ze jou als gebruiker veel beter informeren.
Wij vinden: “jouw gegevens, jouw zaak.” Jouw gegevens zijn voor app-ontwikkelaars en adverteerders veel waard, maar jij als gebruiker wil niet gezien worden als een product. Dat betekent ook dat je je eigen verantwoordelijkheid moet nemen en voor elke app die je installeert na moet gaan wat deze app doet met je gegevens. Want, zoals vaak in comments en op blogs wordt geciteerd: “when something online is free, you’re not the consumer, you’re the product.”