Toegang tot je iPhone-adresboek: wie, waarom en wat kun je doen?

De iPhone-app Path werd vorige week opeens groot nieuws, toen bleek dat de adresboeken van gebruikers ongevraagd naar de servers van de ontwikkelaar werden gestuurd. Een update en een excuus van de ontwikkelaar later is dit niet meer mogelijk, maar andere apps zijn ook in staat je adresboek ongevraagd van je iPhone te halen. Onder andere de iPhone-apps van Twitter en Foursquare blijken dit al langer te doen.

Je kunt er zelf achter proberen te komen of een iPhone-app ongevraagd jouw adresboek verzendt naar de ontwikkelaar. Door je computer als een proxyserver te gebruiken en een programma zoals mitmproxy te gebruiken, zie je wat voor data je iPhone verstuurt en ontvangt. Hoe je dit doet wordt uitgelegd op het blog van Arun Thampi, die via deze methode Path’s praktijken ontdekte.

Onder andere Foursquare bleek volgens deze methode adresboekinformatie te versturen. De locatiedienst verstuurde de informatie ongevraagd nadat je een account had aangemaakt. Inmiddels heeft de ontwikkelaar een update voor de app uitgebracht, die ervoor zorgt dat je wordt gevraagd of je adresboek opgestuurd mag worden. Daarnaast beweert Foursquare de gegevens niet op te slaan.

https://twitter.com/#!/4sqSupport/status/169478181089320961

Twitter maakt zich ook schuldig aan het opslaan van deze gegevens. Door op de knop ‘Find My Friends’ te drukken wordt je adresboek automatisch naar het sociale netwerk verzonden, waar de adresgegevens voor 18 maanden op de servers blijven staan. Een toekomstige update van Twitter moet dit duidelijker maken voor gebruikers, door termen zoals ‘Upload your contacts’ te gebruiken.

Zowel Twitter als Foursquare versturen de informatie versleuteld, maar er zijn apps die de informatie onveilig verzenden. De iPhone-app Hipster verzendt bijvoorbeeld je adresboekgegevens via een HTTP GET-verzoek, waardoor een groot deel van je gegevens in een onveilige URL wordt verzonden. Deze URL’s kunnen onder andere bekeken worden door je provider.

Het probleem lijkt deels te liggen bij iOS, dat het mogelijk maakt voor ontwikkelaars om ongevraagd dergelijke informatie te versturen. Terwijl Steve Jobs in een interview in 2010 juist tegenstander van dit soort praktijken leek te zijn. Toen verklaarde hij nog dat Apple veel apps heeft afgewezen omdat ze persoonlijke data wilde gebruiken en versturen. De voormalig CEO vond dat ontwikkelaars eerst toestemming moesten vragen voordat gebruikers informatie delen. Ook zouden de ontwikkelaars moeten uitleggen waarom de informatie nodig is. Maar gek genoeg is het standpunt van Jobs niet terug te vinden in de praktijk van iOS.

De bekende iOS-ontwikkelaar Marco Arment gaf een paar dagen geleden ook openheid van zaken over de hoeveelheid gegevens die zijn app Instapaper kan inzien. Hij vindt dat iOS hem als ontwikkelaar teveel toegang tot het adresboek geeft, zonder de gebruikers toestemming te vragen. Apple moet de Adress Book API aanpassen, zodat er toestemming wordt gevraagd voordat een ontwikkelaar de gegevens kan inzien. Bij Android gebeurt dat al, al wordt er vaak nogal ruim toestemming gevraagd en is het lang niet altijd duidelijk waarom een songteksten-app toegang tot je adresboek nodig heeft.