Bent u al een beetje zuur of boos na het lezen van het nieuws rond de Ring-deurbel, en kent u de opmerking ‘The postman always rings twice’ ? Dit is namelijk letterlijk van toepassing op de ring deurbel. Uw ring deurbel app, zit namelijk vol met trackers. Wanneer iemand bij u thuis op de voordeur bel drukt, dan neemt uw deurbel contact op met zijn ‘thuis’.
‘Ring’ verstuurd persoonlijk identificeerbare informatie
Uit een onderzoek door EFF van de Ring doorbell-app voor Android bleek dat deze vol zat met trackers van derden die een overvloed aan persoonlijk identificeerbare informatie (PII) van klanten verstuurden. Vier belangrijke analyse- en marketingbedrijven bleken informatie te ontvangen zoals de namen, privé-IP-adressen, mobiele netwerkdragers, persistente identificatiegegevens en sensorgegevens op de apparaten van betalende klanten.
Het gevaar van het versturen van kleine stukjes informatie is dat analyse- en trackingbedrijven deze stukjes kunnen combineren om een uniek beeld van het apparaat van de gebruiker te vormen. Dit samenhangende geheel vertegenwoordigt een vingerafdruk die de gebruiker volgt wanneer deze interactie heeft met andere apps en hun apparaat gebruikt, waardoor in weze trackers kunnen bespioneren wat een gebruiker doet in hun digitale leven en wanneer zij het doen. Dit alles gebeurt zonder een zinvolle kennisgeving of toestemming van de gebruiker en, er is in de meeste gevallen geen enkele manier om (de geleden) schade te beperken. Zelfs wanneer deze informatie niet wordt misbruikt en gebruikt voor precies het aangegeven doel (in de meeste gevallen marketing), kan dit leiden tot een hele reeks sociale problemen.
Bevindingen
In tests met Ring versie 3.21.1 (android) onthulden persoonlijk identificeerbare informatie -levering aan branch.io, mixpanel.com, appsflyer.com en facebook.com. Facebook, via zijn Graph API, wordt gewaarschuwd wanneer de app wordt geopend en bij apparaatacties zoals app-deactivering na schermvergrendeling vanwege inactiviteit. Informatie die aan Facebook wordt geleverd (zelfs als u geen Facebook-account hebt) omvat tijdzone, apparaatmodel, taalvoorkeuren, schermresolutie en een unieke identificatie (anon_id), die zelfs blijft bestaan wanneer u de adverteerder-ID op OS-niveau reset.
Branch, die zichzelf omschrijft als een ‘deeplink’-platform, ontvangt een aantal unieke identificatiegegevens (device_fingerprint_id, hardware_id, identity_id) evenals het lokale IP-adres, model, schermresolutie en DPI van uw apparaat.
AppsFlyer, een big data-bedrijf gericht op het mobiele platform, krijgt bij het starten van de app een breed scala aan informatie, evenals bepaalde gebruikersacties, zoals interactie met het gedeelte ‘Buren’ van de app. Deze informatie omvat uw mobiele provider, toen Ring werd geïnstalleerd en voor het eerst werd gelanceerd, een aantal unieke ID’s, de app van waaruit u installeerde en of AppsFlyer-tracking vooraf op het apparaat was geïnstalleerd. Dit laatste stukje informatie is waarschijnlijk om te bepalen of AppsFlyer-tracking was opgenomen als bloatware op een low-end Android-apparaat. Fabrikanten compenseren vaak de kosten van apparaatproductie door consumentengegevens te verkopen, een praktijk die onevenredig veel mensen met een laag inkomen treft en het onderwerp was van een recent verzoekschrift aan Google, geïnitieerd door Privacy International en mede ondertekend door EFF.
Het meest alarmerende is dat AppsFlyer ook de sensoren ontvangt die op uw apparaat zijn geïnstalleerd (op ons testapparaat, inclusief de magnetometer, gyroscoop en versnellingsmeter) en de huidige kalibratie-instellingen.
MixPanel krijgt via ring veruit de meeste informatie. De volledige namen van gebruikers, e-mailadressen, apparaatinformatie zoals OS-versie en -model, of Bluetooth is ingeschakeld, en app-instellingen zoals het aantal locaties waarop Ring-apparaten zijn geïnstalleerd, worden allemaal verzameld en gerapporteerd aan MixPanel. MixPanel wordt kort vermeld in de lijst met services van Ring, maar de omvang van hun gegevensverzameling is dat niet. Geen van de andere trackers die in dit bericht worden vermeld, worden helemaal op deze pagina vermeld.
Conclusie
Ring claimt prioriteit te geven aan de veiligheid en privacy van zijn klanten, en toch zien we tot op heden nog maar weinig van. Wel zien we de schaduwzijde bij Klanten en leden van de gemeenschap die betrokken zijn bij het surveillancesysteem van Ring. In het verleden is Ring’s wanbeheer van gebruikersinformatie belicht wat heeft geleid tot datalekken en de poging om de schuld voor dergelijke blunders bij de klant te leggen.
Maar dit gaat een stap verder dan dat, door eenvoudig gevoelige gegevens te leveren aan derden die geen verantwoording verschuldigd zijn aan Ring of gebonden zijn door het vertrouwen in de klant-verkoperrelatie. Dit omvat informatie over uw apparaat en provider, unieke identificatiegegevens waarmee deze bedrijven u in verschillende apps kunnen volgen, realtime interactiegegevens met de app en informatie over uw thuisnetwerk. In het geval van MixPanel bevat het zelfs uw naam en e-mailadres. Deze gegevens worden verstrekt aan partijen die slechts kort worden vermeld, begraven op een interne pagina die gebruikers waarschijnlijk nooit zullen zien, of worden helemaal niet vermeld.
Dit is een verkort/vertaald artikel van de EFF
