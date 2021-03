Smartphones die idle zijn versturen gemiddeld elke 4,5 minuten data naar Apple en Google, zo blijkt uit onderzoek van het Trinity College Dublin in Ierland, dat het dataverkeer van een Google Pixel-telefoon en een Apple iPhone analyseerde. Tevens blijkt dat zowel Android als iOS telemetriegegevens versturen, ook al heeft de gebruiker zich hiervoor expliciet afgemeld. De onderzoekers stellen verder dat iOS ook het mac-adres van apparaten in de buurt naar Apple verstuurt, samen met hun gps-locatie, zonder dat gebruikers zich hiervoor kunnen afmelden.

Volgens de onderzoekers is erbij recent privacyonderzoek naar smartphones vooral gekeken naar het dataverkeer van apps en is er veel minder aandacht geweest voor de gegevens die het onderliggende mobiele besturingssysteem verstuurt. Voor hun onderzoek gingen de onderzoekers uit van een "privacybewuste maar drukke/niet-technische gebruiker" die wanneer gevraagd geen data met Apple en Google deelt, maar verder alle instellingen ongewijzigd laat.

Voor het onderzoek maakten de telefoons verbinding met een laptop waarop MITMProxy draaide voor het onderscheppen en analyseren van het verkeer. Er werd daarbij gekeken naar de data die het toestel verstuurde tijdens de eerste keer dat het werd ingeschakeld, bij het uitvoeren van een fabrieksreset, wanneer een simkaart werd toegevoegd en verwijderd, wanneer het instellingenscherm werd bekeken, bij het in- en uitschakelen van de locatie en het inloggen op de appstore.

Zowel de iPhone als Pixel versturen data, ook als de gebruiker niet is ingelogd en zelfs wanneer die nooit heeft ingelogd. Bij beide telefoons gaat het om IMEI-nummer, hardware serienummer, simkaart-serienummer en IMSI-nummer, telefoonnummer, apparaat-id, telemetrie en cookies. IOS verstuurt ook het Bluetooth UniqueChipID, Secure Element ID en wifi mac-adres van apparaten en de home gateway in de buurt. Wanneer de locatie-instelling is ingeschakeld worden deze mac-adressen voorzien van de gps-locatie. Verder blijkt dat Android en iOS telemetrie versturen ook als gebruikers zich hiervoor hebben afgemeld.

Google verzamelt wel meer data dan Apple. Tijdens de eerste tien minuten dat de Pixel is ingeschakeld verstuurt het toestel 1MB aan data naar Google, tegenover 42KB die de iPhone naar Apple stuurt. Wanneer de telefoons idle zijn verstuurt de Pixel elke twaalf uur zo'n 1MB naar Google, tegenover 52KB bij de iPhone. "Google verzamelt ongeveer twintig keer meer toesteldata dan Apple", aldus de onderzoekers.

Bij een iPhone duurt het gemiddeld 264 seconden voordat er data naar Apple gaat, tegenover gemiddeld 255 seconden voor Android. "Gemiddeld maken beide besturingssystemen elke 4,5 minuten verbinding met de back-endservers, zelfs wanneer het toestel niet wordt gebruikt", laat het onderzoeksrapport verder weten.

Zorgen over dataverzameling

De onderzoekers stellen dat het verzamelen van zoveel data door Apple en Google twee grote zorgen met zich meebrengt. De eerste is dat toesteldata eenvoudig aan andere databronnen is te koppelen, zoals het inloggen van een gebruiker op de appstore. Het toestel wordt dan gekoppeld aan zijn persoonlijke gegevens. Iets wat geen hypothetische zorg is, aangezien zowel Apple als Google betaaldiensten en een browser aanbieden en profiteren van advertenties, aldus de onderzoekers.

Daarnaast wordt bij de connectie met de Apple- en Google-servers ook het ip-adres van de telefoon verstuurd, dat te gebruiken is om de locatie te bepalen. "Het grote aantal netwerkverbindingen dat iOS en Android maken, gemiddeld elke 4,5 minuten, maakt het volgen van de toestellocatie door Apple en Google mogelijk", merken de onderzoekers op.

Gebruikers kunnen wel een ander besturingssysteem kiezen, maar wanneer er wordt gekozen voor een iPhone hebben gebruikers geen optie om het delen van data te voorkomen. In het geval van de Pixel is het mogelijk om de telefoon zonder netwerkverbinding te starten, om vervolgens alle Google-onderdelen uit te schakelen, voordat de netwerkverbinding wordt ingeschakeld. Dit voorkomt dat het grootste gedeelte van de data naar Google gaat, maar gebruikers moeten dan wel via alternatieve appstores hun apps installeren en kunnen geen gebruik van de Google Play Service maken (pdf).