Privacy-initiatief van Apple ondermijnd door grote app-aanbieders

Privacy-initiatief van Apple ondermijnd door grote app-aanbieders

Verschillende grote app-aanbieders als Google, Meta en Spotify negeren de recente nieuwe regels van Apple tegen ‘device fingerprinting’. Apple wil met deze nieuwe regels een hoger niveau van privacy bewerkstelligen. Toch treedt het vooralsnog niet op tegen deze schendingen.

Apple verbiedt grotendeels het toepassen van device fingerprinting, zelfs als eindgebruikers toestemming verlenen. Met deze volgtechniek kunnen app-aanbieders informatie verzamelen over de diverse instellingen op apparaten. Deze gegevens kunnen vervolgens worden herleid tot een enkele, mogelijk unieke, eindgebruiker. Daardoor kan het gebruikt worden voor doelgerichte advertenties op basis van interesses of persoonlijke omstandigheden. In essentie maakt het personen online volgbaar.

Aanscherping device fingerprinting-regels

Recent heeft Apple de regels voor app-ontwikkelaars rondom device fingerprinting flink aangescherpt. Ontwikkelaars van iOS-apps moeten nu aan een specifiek set van API’s voldoen. Voorbeelden hiervan zijn API’s voor het timestampen van bestanden, de opstarttijd van apparaten, schijfruimte, het actieve toetsenbord en user defaults.

De gegevens die met deze API’s worden verzameld, moeten daarnaast op de apparaten van de betreffende eindgebruikers blijven om maximale privacy te garanderen.

Verder moeten app-ontwikkelaars voor het gebruik van deze API’s  een duidelijke reden geven in de bij de app verplichte privacyverklaring. Dit is op basis van een lijst van redenen die Apple heeft opgesteld. Hebben ontwikkelaars geen geldige reden voor het gebruik van de device fingerprinting API’s, dan worden hun apps vanaf 1 mei dit jaar niet meer tot de Apple AppStore toegelaten.

App-ontwikkelaars negeren regels

Volgens onafhankelijke onderzoekers is het met de handhaving van deze nieuwe regels echter nog niet zo nauw gesteld. Verschillende grote app-ontwikkelaars, zoals Google, Meta en Spotify, negeren massaal de nieuwe regels van Apple voor device fingerprinting. Spotify, Chrome, Instagram en Threads zijn voorbeelden van prominente apps die mogelijk per 1 mei verwijderd hadden moeten worden van de App Store door de schendingen.

De techbedrijven in kwestie geven wel een verklaring waarom hun apps gegevens vanaf apparaten van eindgebruikers verzamelen, maar zij zorgen er niet voor dat deze verzamelde data op de apparaten zelf blijft. Google, Meta en Spotify geven geen of een ontwijkend antwoord op vragen waarom zij de data blijven verzamelen en offloaden.

De onderzoekers vinden de redenen die de app-ontwikkelaars opgeven het dataverzamelen twijfelachtig. Vaak wordt hierbij een beroep gedaan op uitzonderingen, terwijl die volgens de onderzoekers echter niet opgaan.

Apple maakt geen haast

De onderzoekers geven verder aan dat Apple zelf geen haast maakt met het toezien op de eigen regelgeving. Vooral zou Apple nog niet nadrukkelijk de redenen checken waarom app-ontwikkelaars menen toch device fingerprinting te kunnen uitvoeren. Apple zelf heeft hierover ook nog geen commentaar gegeven.

Lees ook: Apple voert per 1 mei strengere SDK-regels door voor apps