Email adressen en telefoonnummers van Twitterende Kamerleden staan op de servers van Twitter

Vorige week bleek dat de foto applicatie Path alle gegevens uit je adresboek upload naar de servers van Path. Gratis heeft zo zijn beperkingen maar inmiddels heeft Path het “lek” met een update gedicht. Logisch want de gegevens die de software ontwikkelaars willen hebben zijn natuurlijk al binnen. Path is niet uniek in het stelen van je adresboek gegevens want eerder heeft WhatsApp dit al gedaan en de officiële iOS Twitter applicatie voor de iPhone en iPad heeft een deel van je gegevens uit je adresboek ook al lang geüpload naar de servers van Twitter. Veel kan je er niet aan doen maar Apple heeft bekend gemaakt dat ze deze mogelijkheid in een volgende iOS firmware update gaan uitschakelen. Je moet dan waarschijnlijk eerst toestemming geven om al je adres gegevens te uploaden naar een server in Oezbekistan. Apple:

“Apps that collect or transmit a user’s contact data without their prior permission are in violation of our guidelines. We’re working to make this even better for our customers, and as we have done with location services, any app wishing to access contact data will require explicit user approval in a future software release.”

Als je denkt dat het wel meevalt dan moet je nog even doorlezen want het uploaden van je adresboek zonder dat je het weet is helaas maar het topje van de ijsberg. iOS apps hebben niet alleen toegang tot je adresboek maar kunnen ook gebruik maken van je foto’s, muziek, microfoon, video’s en agenda informatie. Zo zou in het ergste geval een 2.0 inbreker via een onnozel gratis appje een inbraak bij je thuis kunnen plannen via je eigen agenda. Probleem is dat vrijwel alle content op je iPhone toegankelijk is voor software ontwikkelaars en als je gebruik maakt van een app van een kwaadwillende software ontwikkelaar dan kan hij jouw gegevens uploaden naar zijn servers zonder dat je daar erg in hebt. Om dat in gang te zetten moet je de app wel opstarten anders werkt het niet.

Als je nog niet zo lang in het bezit bent van een iPhone dan is het ook goed om te weten dat goedgekeurde applicaties door Apple ook vaak toegang hebben tot de camera en de microfoon van je iPhone. In het ergste geval kunnen apps foto’s maken en geluid opnemen zonder dat je het merkt. Vage software ontwikkelaars maken daar helaas al gebruik van en het is voor sommige overheidsinstellingen natuurlijk ook erg handig om mee te kijken en te luisteren in bepaalde (risico) gebieden.

Hier een aantal belangrijke wetenswaardigheden:

  1. Apps kunnen alleen informatie doorgeven als je ze gebruikt. Op het moment dat je een app niet opstart kan hij ook niets uploaden.
  2. de meeste software ontwikkelaars maken hier geen gebruik van omdat ze hun tent kunnen sluiten als deze functies uitlekken
  3. Android gebruikers kennen dit probleem niet omdat ze bij installatie van een app eerst toestemming moeten geven. Veel mensen snappen dit niet en geven bij installatie alsnog meteen toestemming om hun persoonlijke gegevens te gebruiken.

Probleem is dat dit soort “lekken” pas bekend worden als de gegevens al op straat liggen. De meeste Eerste en Tweede Kamerleden zijn in het bezit van een iPhone en een iPad. Veel Kamerleden gebruiken Twitter en woordvoerder Carolyn Penner van Twitter maakte gisteren bekend dat de iOS Twitter applicatie email adressen en telefoonnummers uit het adresboek van alle Twitter gebruikers upload naar hun servers als je de functie “zoek mijn vrienden” ooit hebt gebruikt in de Twitter App:

“When users activate the service’s “Find friends” feature, “the email addresses and phone numbers in your address book will be shared with Twitter. If one of your contacts signs up for Twitter with one of those email addresses and chooses to be discoverable by the address, we can connect you two.”

Het gemiddelde Twitterdende Eerste of Tweede Kamerlid heeft dit natuurlijk gedaan, want wie wil er nu niet veel Twitter vrienden en vriendinnen? De gegevens blijven 18 maanden op de servers staan en worden gebruikt om je beter te kunnen verbinden met je Twitter vrienden en vriendinnen. In dit geval met de achterban. Handig maar veel mensen hadden dit toch wel graag van tevoren willen weten en de achterban natuurlijk ook.

Paranoïde twitterende Eerste en Tweede Kamerleden hadden dus beter gebruik kunnen maken van Tweetbot, de beste Twitter client die geen gegevens upload, totdat iemand het alsnog ontdekt ;) Mondelinge vragen stellen heeft geen zin meer want dat hebben ze in het Amerikaanse congres al gedaan. De congresleden stuurden de onderstaande brief naar Apple CEO Tim Cook om opheldering te vragen over de diefstal van de adresboek gegevens.  Nou maar hopen dat Apple er ook snel echt wat aan doet.

Mr. Tim Cook

Chief Executive Officer, Apple Inc.

1 Infinite Loop

Cupertino, CA 95014

Dear Mr. Cook:

Last week, independent iOS app developer Arun Thampi blogged about his discovery that the social networking app “Path” was accessing and collecting the contents of his iPhone address book without ever having asked for his consent.[1] The information taken without his permission – or that of the individual contacts who own that information – included full names, phone numbers, and email addresses.[2] Following media coverage of Mr. Thampi’s discovery, Path’s Co-Founder and CEO Dave Morin quickly apologized, promised to delete from Path’s servers all data it had taken from its users’ address books, and announced the release of a new version of Path that would prompt users to opt in to sharing their address book contacts.[3]

This incident raises questions about whether Apple’s iOS app developer policies and practices may fall short when it comes to protecting the information of iPhone users and their contacts.

The data management section of your iOS developer website states: “iOS has a comprehensive collection of tools and frameworks for storing, accessing, and sharing data. . . . iOS apps even have access to a device’s global data such as contacts in the Address Book, and photos in the Photo Library.”[4]The app store review guidelines section states: “We review every app on the App Store based on a set of technical, content, and design criteria. This review criteria is now available to you in the App Store Review Guidelines.”[5] This same section indicates that the guidelines are available only to registered members of the iOS Developer Program.[6] However, tech blogs following the Path controversy indicate that the iOS App Guidelines require apps to get a user’s permission before “transmit[ting] data about a user”.[7]

In spite of this guidance, claims have been made that “there’s a quiet understanding among many iOS app developers that it is acceptable to send a user’s entire address book, without their permission, to remote servers and then store it for future reference. It’s common practice, and many companies likely have your address book stored in their database.”[8] One blogger claims to have conducted a survey of developers of popular iOS apps and found that 13 of 15 had a “contacts database with millions of records” – with one claiming to have a database containing “Mark Zuckerberg’s cell phone number, Larry Ellison’s home phone number and Bill Gates’ cell phone number.”[9]

The fact that the previous version of Path was able to gain approval for distribution through the Apple iTunes Store despite taking the contents of users’ address books without their permission suggests that there could be some truth to these claims. To more fully understand and assess these claims, we are requesting that you respond to the following questions:

– Please describe all iOS App Guidelines that concern criteria related to the privacy and security of data that will be accessed or transmitted by an app.

– Please describe how you determine whether an app meets those criteria.

– What data do you consider to be “data about a user” that is subject to the requirement that the app obtain the user’s consent before it is transmitted?

– To the extent not addressed in the response to question 2, please describe how you determine whether an app will transmit “data about a user” and whether the consent requirement has been met.

– How many iOS apps in the U.S. iTunes Store transmit “data about a user”?

– Do you consider the contents of the address book to be “data about a user”?

– Do you consider the contents of the address book to be data of the contact? If not, please explain why not. Please explain how you protect the privacy and security interests of that contact in his or her information.

– How many iOS apps in the U.S. iTunes Store transmit information from the address book? How many of those ask for the user’s consent before transmitting their contacts’ information?

– You have built into your devices the ability to turn off in one place the transmission of location information entirely or on an app-by-app basis. Please explain why you have not done the same for address book information.

Please provide the information requested no later than February 29, 2012. If you have any questions regarding this request, you can contact Felipe Mendoza with the Energy and Commerce Committee Staff at 202-226-3400.

Sincerely,

Henry A. Waxman, Ranking Member

G.K. Butterfield, Ranking Member

Subcommittee on Commerce, Manufacturing, and Trade