Wat deelt u met uw smartphone?

Door: Koen Vervloesem | 30 december 2011 11:12

Apple

Inhoudsopgave

  1. Inleiding
  2. pagina 2
  3. pagina 3

U deelt veel meer persoonsgegevens met uw smartphone dan u denkt. U geeft gegevens prijs aan Google of Apple, aan uw telecomprovider, aan de applicatiemakers, aan de websites die u bezoekt, en aan de smartphonefabrikant. Al deze partijen weten eigenlijk veel te veel over u, en het is niet altijd mogelijk om dit te voorkomen.

Richard Stallman (voorzitter van de Free Software Foundation) vindt: "Smartphones zijn Stalins droom, werktuigen van Big Brother". Hij beschouwt deze handige apparaatjes als spionnen in uw broekzak, die inbreuk plegen op uw privacy. "Ik ga niet rondlopen met een apparaat dat de hele tijd traceert waar ik ben en dat kan bespioneren wat ik doe", is zijn uitleg. Nu is Stallman wel bekend als iemand met een extreme visie op software en IT in het algemeen, maar er schuilt een kern van waarheid in zijn paranoïde waarschuwingen. Ook al kan niet iedereen het zich permitteren om zonder smartphone te leven, het is wel nuttig om te weten welke persoonlijke informatie u ervoor moet prijsgeven, zodat u geïnformeerde keuzes kunt nemen. We bespreken in dit artikel achtereenvolgens de informatiestromen richting telecomproviders, applicatiemakers en websites. We gebruiken bij de voorbeelden voornamelijk Android en iOS.

Deel 1: Telecomproviders

1. DPI

Enige tijd geleden werd bekend dat KPN, Vodafone en zelfs T-Mobile gebruikmaken van DPI (Deep Packet Inspection) om te zien wat u op hun netwerk doet. De telecomproviders vinden het maar niets dat u diensten zoals WhatsApp en Skype gebruikt, omdat die concurreren met hun duurdere sms- en beldiensten. Telecomproviders kunnen perfect zien wanneer u één van deze diensten gebruikt door naar de structuur van de netwerkpakketjes te kijken. Zij zouden dan ook u heel graag meer laten betalen voor dit netwerkverkeer om de gederfde inkomsten van hun eigen duurdere diensten te compenseren. Dit gaat in tegen de idee van netneutraliteit, dat zegt dat telecomproviders elke bit op dezelfde manier moet behandelen.

Los van het feit dat netwerkverkeer van concur­rerende diensten discrimineren niet eerlijk is, zorgt DPI ook voor een inbreuk op uw privacy. De bedrijven zeggen wel dat ze de privacy van hun klanten helemaal niet aantasten en enkel naar de hoogstnodige informatie in de netwerkpakketjes kijken, maar moeten we hen op hun woord geloven? Bovendien: de apparatuur voor DPI kan veel meer dan waarvoor het nu door de telecomproviders gebruikt wordt. De provider kan in theorie registreren op welke zoektermen u allemaal googelt, met wie u e-mailt, welke websites u bezoekt enzovoort. De kans is klein dat dit op dit moment in Nederland gebeurt, maar zeg nooit nooit. Hier kan altijd misbruik van gemaakt worden, dus het is verstandig om eerst twee keer na te denken voordat u gevoelige zaken op uw smartphone opzoekt via het mobiele netwerk.

Gps

Als u bang bent dat apps uw locatie bijhouden, kunt u de locatiediensten van uw smartphone altijd uitschakelen. In Android gaat dat in de instellingen bij Locatie en beveiliging. Vink onder Mijn locatie daar Draadloze netwerken en GPS-satellieten uit. Apps die deze diensten wel nodig hebben, zoals Google Maps, zullen dan wel vragen om deze weer in te schakelen, maar dat kunt u dan tijdelijk doen als u de applicatie vertrouwt. Op een iPhone gaat u voor het uitschakelen van de locatiediensten naar de instellingen en dan naar Locatievoorzieningen. U krijgt daar ook een lijst te zien met alle apps die u toegang tot uw locatie hebt gegeven of geweigerd. Dit kunt u dan aanpassen.

2. ASID

Uw telecomprovider weet natuurlijk heel wat over u, want u surft via zijn netwerk en hebt een abonnement bij hem afgesloten. U gaat er echter wel vanuit dat de provider bedachtzaam met uw gegevens omgaat en deze niet lekt. Helaas is dat niet altijd zo. Als u met Vodafone bijvoorbeeld naar een website surft, gaat dat altijd via Vodafones webproxy, die de header X-ASID aan de aanvraag van uw webbrowser naar die website toevoegt. ASID staat voor Anonieme Subscriber ID, het is een unieke code die gekoppeld is aan uw simkaart. T-Mobile en KPN doen dit ook, maar niet bij alle websites: enkel voor de websites die zich voor deze dienst aangemeld hebben.

Dankzij die ASID-code die met elke aanvraag naar een website meegestuurd wordt, kunnen websites u anoniem traceren. Uiteraard weet enkel uw mobiele telecomprovider welke persoon er achter welke code schuilt, maar websites kunnen wel al uw bezoekjes aan dezelfde anonieme gebruiker koppelen omdat al uw aanvragen dezelfde code bevatten. Eigenlijk lijkt het dus wat op cookies, met het verschil dat u cookies zelf in uw browser kunt verwijderen, maar dat u geen vat hebt op de ASID-header.

De bedoeling van de ASID-code is eigenlijk dat het daardoor voor websites gemakkelijker is om u bijvoorbeeld online muziek of beltonen te verkopen. Er zijn dan geen omslachtige aanmeldprocedures meer nodig, maar de websites kunnen uw aankopen via uw provider aanrekenen, omdat die laatste weet dat u achter die specifieke ASID-code schuilt. Waarschijnlijk wel goed bedoeld, maar om dan maar een unieke code toe te kennen waarmee alle websites u kunnen traceren, dat vinden we wat te ver gaan.

Bij bijvoorbeeld T-Mobile kunt u wel via een sms aanvragen om de ASID-header uit te schakelen. Bij Vodafone is dat niet mogelijk, tenzij u teruggrijpt naar trucjes zoals uw webbrowser zich laten identificeren als een normale desktopbrowser. Meer informatie vindt u op de website van Randy Simons, die ook een testpagina heeft opgezet waarmee u kunt testen of uw internetprovider een ASID-code meestuurt naar elke website.

Als u met uw mobieltje via Vodafone surft, ziet elke website een code die uniek is voor u (bron: Randy Simons).

Wat als u uw smartphone verliest?

Uiteraard kan de smartphone zelf ook een groot risico zijn voor uw privacy. Steeds meer van onze persoonsgegevens komen immers op dit kleine apparaatje te staan. Sta er zelf eens bij stil: welke informatie heeft iemand over u als u uw smartphone verliest en die in verkeerde handen valt? Foto's, browsergeschiedenis, Twitter- en Facebook-accounts, sms-berichten, adresboek, afspraken, zelfs een geschiedenis van plaatsen waar u geweest bent als u locatievoorzieningen ingeschakeld hebt. Waarschijnlijk zelfs toegang tot allerlei accounts op websites omdat u de wachtwoorden laat opslaan (elke keer intypen op een smartphone is immers nogal lastig). Op de iPhone is sinds de 3GS alle informatie wel versleuteld, maar met fysieke toegang en de juiste tools is dat te kraken via een brute-force aanval op de pincode. Deze goudmijn aan informatie over u, kan een vinder misbruiken voor identiteitsdiefstal of ander geldelijk gewin.