Overgrote deel apps overdrijft met toestemming vragen

| AE 6971 | Intellectuele rechten, Privacy | 24 reacties

apps-permission-toestemming-vragenMeer dan 85% van alle apps geven niet eens de meest basale privacyrelevante informatie, zo las ik bij The Register. En een op de drie apps vraagt excessief meer toestemmingen dan ze eigenlijk nodig zouden hebben. Schokkend, maar eigenlijk niet verbazingwekkend. Het onderzoek is van de Global Privacy Enforcement Network (GPEN) waar onder meer de Engelse en Nederlandse privacyautoriteiten deel aan nemen.

Omdat apps best veel kunnen qua privacy, hebben zowel Apple als Google ingebouwde beveiligingen. Je mag als app bepaalde dingen niet doen als die aan de privacy van de gebruiker raken, tenzij je daar toestemming voor hebt gevraagd. Dit gaat dan op de typische techneutenmanier: we mogen iets niet zomaar van Legal, dan vragen we de gebruiker om toestemming en dan kunnen we verder. Een stuk eenvoudiger immers dan je app herbouwen zodat de vraag overbodig is.

Ergerlijk. Maar goed, er komt dus een popup die vraagt “Deze app wil je gps coördinaten” uitlezen en daar kun je ja op zeggen anders mag je de app niet installeren of de update niet gebruiken. Lekker dan. Wie gaat er in die situatie nee zeggen? Ik negeer het ook, hoe vaak ik ook denk “waaróm wil je dat, je bent een zaklamp/spelletje/bankierapp”.

De GPEN pleit zoals toezichthouders wel vaker doen voor meer informatie: mensen uitleggen hoe het werkt, zodat ze daarna met een gerust hart ja of nee kunnen zeggen. Dat gaat ‘m niet worden maar het idee van een gelaagde privacyverklaring is niet verkeerd. Het idee is dat je per permissie kort uitlegt wat en hoe, en wie wil kan doorklikken naar een extra tab.

Maar waarom moeten appbouwers hier het wiel in uitvinden? Laten we de appstores verplichten om dit model te hanteren. Eis dat ze bij een toestemmingsvraag een toelichting laten opnemen. Niet in een privacyverklaring, niet in de app-informatietekst en niet in een “Over ons/Privacy” menu in je app. Nee, gewoon bij de vraag. “Deze app wil je gps coördinaten uitlezen omdat het een navigatie-app is, duh” of “Deze app wil je gps coördinaten uitlezen om lokatiegebonden advertenties te vertonen”.

Natuurlijk is dit lastiger te handhaven dan het technische model dat appstores nu hanteren. Je kunt als beheerder alleen vaststellen of er toestemming is voor functionaliteit, nagaan waaróm die toestemming is verleend (en met welke gedachte bij de gebruiker) is niet echt te programmeren. Maar daar is menselijke controle denk ik een prima alternatief, zeker omdat mensen vrij snel door zullen hebben wanneer toestemming op grond A wordt gevraagd en voor grond B wordt ingezet.

Bij voorkeur zouden mensen dan ook nog eens per toestemmingsvraag ja of nee moeten kunnen zeggen, en als ze nee zeggen dan mag de app best crippled raken maar installatie mag dan niet worden geweigerd. Maar dat lijkt me een brug te ver voor app-ontwikkelaars.

Arnoud

Deel dit artikel

  1. Natuurlijk heeft die uitleg ook geen zin, je denkt dat mensen dat gaan lezen. De app-stores moeten gaan controleren óf en hoe iets gebruikt wordt en of dat nodig is. De eerste zaklamp app uit de windows store wil dit hebben: App requires

    phone identity
    owner identity
    video and still capture
    location services
    photo, music, and video libraries
    microphone
    data services
    phone dialer
    movement and directional sensor
    web browser component
    camera
    WVGA (480x800)
    music library
    photos library
    media playback
    HD720P (720x1280)
    WXGA (768x1280)
    

    Moet ik dan werkelijk alle tabjes aflopen om te zien wat ze daar precies mee gaan doen? Daarbij is het grootste probleem dat alle zaklamp apps dit willen en er dus geen zaklamp app meer te vinden is die gewoon alleen het lampje gebruikt. Net als dat elke site cookies gebruikt en we door die hele regelgeving niets zijn opgeschoten behalve dat er nu naast slechte cookies óók nog vervelende cookie meldingen zijn.

    • Ga er maar van uit dat dit 2 dingen betekend: 1) Dit wordt allemaal getracked en opgeslagen en doorverkocht: dat is het verdienmodel. 2) incompetentie en laksheid van de developers = security probleem.

      Zelfs met een gratis app: stem als consument met de portomonnee. Installeer die meuk niet en men zal reclameinkomsten mislopen. Door te reageren met laksheid of ja-het-zal-wel, houden we het probleem in stand. Marktwerking kan zorgen voor apps met verbeterde privacy en redelijke toestemmingen.

      En nu computerveiligheid een PR stunt is, spreek ook de app stores hier op aan. Dit soort apps is (privacy) malware. Verwijder die troep en stel strengere toestemming regels in. Accepteer flashlight apps gewoon niet in de store als ze GPS of telefoonboek willen inzien, of bezig onderstaande woorden niet:

      “We believe that people shouldn’t have to make a trade-off between security and ease of use.” – Google Bron

      “Apple takes “a very different view” of privacy than its Silicon Valley brethren, which often make a business out of collecting and leveraging customer information.” – Apple Bron
      Vooralsnog zijn wij consumenten, de app devs, en de app stores, laks en apathisch. Misschien moeten er dan maar wetten komen, al dienen ze alleen al als richtlijn en aandacht voor dit probleem.

      • Zelfs met een gratis app: stem als consument met de portomonnee. Installeer die meuk niet en men zal reclameinkomsten mislopen. Door te reageren met laksheid of ja-het-zal-wel, houden we het probleem in stand. Marktwerking kan zorgen voor apps met verbeterde privacy en redelijke toestemmingen.

        Helaas heeft de praktijk al laten zien dat marktwerking niet werkt. Zolang het 99% van de mensen niet uit maakt, heeft vertrouwen op marktwerking geen zin. Inmiddels vragen alle flashlight apps dit (mijn voorbeeld was letterlijk de eerste app die ik tegenkwam).

        Je kan ook helemaal niet laten weten aan de maker (of beter aan de app-store) dat je de app niet wil vanwege dit misbruik. Je zal het eerst moeten installeren voordat je een review kan achterlaten. En ik wil het juist niet installeren.

        Waarom niet een mogelijkheid dat je met één druk op de knop een app kan rapporteren die te veel toestemmingen vraagt en dit naast de sterren tonen. Dus Rating 4.5, Privacy: 1.5 De maker kan zo zien hoeveel downloads hij is misgelopen, de store kan zien of er apps verwijderd moeten worden en de consument kan makkelijker zoeken.

        Uiteindelijk hoop ik dan ook dat consumenten zelf bewuster worden omdat ze telkens die privacy score zien.

  2. En juist vanwege dit soort applicaties krijg ik een afschuwelijke jeuk die maar niet weg wil. Kijk bijvoorbeeld naar Facebook, waarin ze gebruikers op een gegeven moment verplicht hebben om de Messenger app te moeten installeren, wil je doorgaan met kletsen. Je krijgt een rolberoerte van hoe hoeveelheid permissies die ze daarmee nodig hebben.

    Om die reden (en ook deels omdat ik iets met IT doe) ben ik me gaan verdiepen in mijn huidige telefoon en het verkrijgen van root, plus het flashen van een ander OS dan de stock ROM op je telefoon..

    Zo heb ik een z1 compact van Sony met daarop nu al een behoorlijke tijd de Cyanogenmod. Een fantastische tool die je onder het kopje van ‘privacy’ bij de settings de beschikking geeft over een ‘privacy guard’. Op die manier kun je dan per app instellen wat voor rechten je ze echt wilt geven (zegmaar via een soort van firewall), welke op zijn beurt ook noteert hoe vaak een app dit nodig vond op te vragen. Dit wil niet zeggen dat je blind elke app kunt installeren die je tegenkomt, wel wil het je wat extra bewaking / inzage geven over wat een app nou precies wil en wat jij daarbij wilt toestaan.

    Helaas is dit voor veel mensen waarschijnlijk niet weggelegd, vooral omdat het vrij technische inspanning benodigd.

  3. Volgens mij is het heel simpel. Vrijwel elke ontwikkelaar voegt een crashlogger (bijv. Crashlytics) en een analytics-bibliotheek (bijv. Flurry, Localytics enz.) toe aan zijn app. En die vragen al vrij veel toestemming. En dan daarnaast nog de toestemmingen die je app vraagt.

    Qua analytics zit er in de app vaak een opt-in of een opt-out, maar dan nog steeds moet je als developer die toestemmingen vragen bij installatie.

    • Android heeft helaas niets vergelijkbaars. Gelukkig is er bij Android wel wat meer de mogelijkheid om zelf met rechten te rommelen. Zo zijn er applicaties op de markt die toegang tot adresboek, identiteit, gps, camera en microfoon kunnen blokkeren. Helaas is daar wel meer technische kennis voor nodig. LBE Security Master, XPrivacy, Privacy Guard van Cyanogen en PDroid. Allen hebben ze op zijn minst root rechten nodig en voor de Cyanogen optie moet je een custom ROM installeren. Voordeel na het installeren van Cyanogen is wel dat hij standaard de meest privacygevoelige zaken blokkeert en deze rechten eenvoudig voor een app aan te passen zijn voor de leek.

      Ik wacht er nog steeds op totdat Google een systeem inbouwt dat niet bij installatie om bepaalde rechten vraagt maar dat elke keer doet wanneer de rechten gebruikt worden. Net zoals bij het kiezen van een standaard applicatie voor bepaalde toepassingen, moet je dan ook kunnen kiezen voor een “Allow always for this app” optie. Heel fijn zou dan ook zijn als je kunt kiezen om de “toegang” wel te verlenen maar enkel nepinformatie laat zien. (Een optie bij enkele privacy applicaties.) Zo kunnen app ontwikkelaars niet kiezen om de app te blokkeren wanneer er geen toestemming wordt verleent, maar denkt de applicatie gewoon dat je ergens in Kazachstan zit. Helaas is dit niet in Google’s voordeel aangezien hun volledige verdienmodel op advertenties zijn gebaseerd en nou juist díe de reden zijn dat veel applicaties toegang tot GPS en identiteit willen hebben.

    • Sterker nog, het begint een gewoonte te worden om vóórdat je de sensor gebruikt, eerst nog een eigen toestemming vraagt aan de gebruiker.

      “Voor deze functionaliteit gaan we u zometeen vragen of toestemming wilt geven voor het gebruik van de camera door deze app. Wilt u dit?”

      Voordeel is dat als de gebruiker in dit stadium ‘nee’ zegt, de permissie alleen in de app zelf, maar niet in het systeem is vastgelegd. Dat maakt het makkelijker om de gebruiker in een later stadium opnieuw te vragen voor toestemming. Als ze het op systeemniveau nee zeggen, dan moeten ze het zelf zien op te lossen in de telefoon voorkeuren.

  4. dan mag de app best crippled raken maar installatie mag dan niet worden geweigerd. Maar dat lijkt me een brug te ver voor app-ontwikkelaars.

    Ik als software-ontwikkelaar denk dat het best kan, maar ik ben bang dat app-ontwikkelaars hier makkelijk mee weg komen door de app wel te laten installeren, maar helemaal niets laten doen zolang nog niet voor alles toestemming is gegeven: tot die tijd geeft de app alleen een pop-up.

    Het is wellicht beter om, als de gebruiker geen toestemming geeft, de app daar niet over in te lichten, maar een “dummy-interface” aan de app te bieden die niet te onderscheiden is van een echte interface. Bijvoorbeeld: als een app toegang wil tot je camera, maar je hebt daar geen toestemming voor gegeven, dan moet de app gewoon een soort test-beeld krijgen, niet een “access denied” foutmelding. Voor GPS-coordinaten moet het bijv. het kruispunt tussen de Greenwich-meridiaan en de evenaar krijgen, of wat je ook als gebruiker instelt.

    Dit geeft ook aan waarom apps Open Source zouden moeten zijn. Bij open source apps is er altijd wel iemand die de app op een andere manier wil gebruiken, bijv. op een meer privacy-beschermende manier, en de app daarop aanpast. Ook krijg je meteen betere transparantie over wat een app nou echt doet.

  5. Windows Phone doet dit netter. Als een app gebruik wilt maken van de sensor wordt hier bij de installatie van de app niet om gevraagd. Hier geef je de app alleen toestemming om bepaalde onderdelen (excl. hardware) te gebruiken.

    Als je de app start en deze voor de eerste maal probeert een sensor te benaderen, dan vraagt WP pas om toestemming. Deze kun je dan ook rejecten en de app wordt dan niet automatisch verwijderd. Ik heb heel kort tussen mijn oude Lumia 800 en nieuwe Lumia 930 een Android phone gehad en ik ergerde mij hierover kapot..

    • OmniRom en CyanogenMod bieden dat ook op Android. Een reden te meer om wettelijk te gaan regelen dat gebuikers meer vrijheid te krijgen om zelf bepalen welk OS ze draaien: – dat garantie niet wordt verkort – dat bootloaders niet worden encrypt. – dat een OS niet binnen twee jaar verouderd is, je met een lekke browser zit, of geen programma’s meer kan installeren, terwijl de hardware prima werkt. Dat is toch een ondeugdelijk product uiteindelijk? Apple?

  6. Bij complexe financiële producten hoor ik op de radio regelmatig ‘Het risico van dit product is zeer groot, namelijk 7 op een schaal van 7’ (waarom 7?). Kunnen we dat niet ook voor privacy doen? Verplicht de twee grote appstores om een onafhankelijke beoordelaar te laten kijken naar de privacyvoorwaarden van een app, en laat deze dan beoordelen. Toon dat in een balkje bij het installeren, en de gebruiker kan kiezen om alleen de apps die nog in het groene gedeelte staan te installeren. Daarbij moet men dan ven een soort redelijkheid uit gaan, dus de navigatie-app die constant toegang wil tot je GPS en niets anders, zal gewoon 1 scoren, terwijl de zaklamp die telefoongesprekken wil afluisteren en wil weten waar je kinderen op school zitten, een 10 zal scoren op de schaal van WTF.

    Zo kun je toch toestemming vragen, maar tijdens het vragen kun je de gebruiker wel een beetje voorlichten. Vervolgens kun je als overheid campagnes draaien die mensen waarschuwen om goed te letten op de privacyrating van een app (of website / game / whatever), en regels opstellen over hoe je scoort als je welke dingen doet. Zo zal iedere appbouwer proberen om alleen het noodzakelijke te doen, om de score laag te houden. Nu krijg je situaties waarbij de zaklampbouwer inderdaad denkt ‘trek maar een kopie van die hele telefoon’, omdat het immers gewoon kan en mensen toch wel op ja klikken. Wie weet waar ze de info ooit nog voor nodig kunnen hebben.

  7. Ging men niet bij Android inbouwen dat men deze toestemming achteraf kon intrekken? En dat die app daarna maar pech heeft? Ik weet niet precies hoe dat moet werken, maar ik denk dat bij GPS bijvoorbeeld statische dummy informatie wordt verstrekt, etc. Hier zit ik persoonlijk wel al een tijdje op te wachten.

  8. Het komt regelmatig voor dat ik een app niet installeer simpelweg omdat hij zoveel toestemming vraagt. Waarom wil b.v. een schaakspel toegang hebben tot mijn GPS? En waarom wil een schietspelletje toegang tot mijn foto’s en camera? Bij mij gaan dan automatisch alarmbelletjes rinkelen en komt de app dus niet op mijn iPad of Android tablet. Maar wat je ook ziet is dat een app eerst weinig toestemming wil hebben maar als het een half jaar op de markt is, dan gaat het vragen om toestemming voor meer zaken. En dan wordt het een stuk vervelender omdat de meeste gebruikers daar dan maar toestemming voor geven, want ze hebben de app al een tijdje in gebruik en willen het blijven gebruiken. En dat vind ik een veel kwalijker zaak. Een app die bij een update om meer toestemming vraagt riskeert dat ik een uninstall ga uitvoeren in plaats van toestemming te geven. Of dat ik de update gewoon niet uitvoer. En dat laatste is iets waar appmakers mogelijk bang voor zijn: dat gebruikers geen updates meer doen als ze later extra toestemming gaan vragen. En bij Android heeft dat vooral te maken met de manier hoe de automatische updates werken. Iedere app wordt automatisch bijgewerkt, tenzij ze extra toestemming nodig hebben. Echter, de meeste gebruikers letten daar niet op en dus krijg je dan een waslijst aan apps die wachten op toestemming voordat ze updates krijgen. En die kunnen dan wel erg lang wachten… Dus ik snap wel dat fabrikanten meteen toestemming vragen voor zaken die ze in de verre toekomst misschien willen gebruiken. Als ze dat niet doen is de kans groot dat hun updates later niet worden geaccepteerd, simpelweg omdat ze iets meer rechten nodig hebben…

    • Dus ik snap wel dat fabrikanten meteen toestemming vragen voor zaken die ze in de verre toekomst misschien willen gebruiken.

      Dan nog kan ik niet begrijpen waarom een zaklamp-app mijn GPS-locatie wil weten. Anders dan voor locatiegebonden reclame kan ik me alleen voorstellen dat de app dat gebruikt om de intensiteit van de lamp in te stellen op basis van hoe licht het bij mij op basis van mijn GPS zou moeten zijn. En dat wil ik niet, want dan kan ik hem overdag niet gebruiken om onder de bank te zoeken naar (alweer) een speeltje dat de hond onder de bank heeft geschoven ;-P Zonder gekheid: ik kan mij met geen mogelijkheid functionaliteit van een zaklamp-app voorstellen waarvoor GPS nodig is. Iemand?

      • Een zaklamp met GPS? Daar kan ik me ook niks bij voorstellen zonder in aluhoedjesmode te moeten schieten. Een schaakspel met GPS kan ik me nog wel iets bij voorstellen: bijvoorbeeld om een soort schaakdating te doen, waarbij je nabije onbekenden kunt vinden voor een irl pot schaak. Al vind ik dat niet echt voor de hand liggen, eerlijk gezegd. Op mijn iphone kan ik gelukkig per privacyitem instellen hoe of wat: als zo’n schaakdatingapp geen toegang zou krijgen tot mijn locatiegegevens, dan doet de datingfunctie het niet, maar de rest nog wel. En met ios8 schijnt apple ons meer mogelijkheden te geven om de duimschroeven aan te halen bij apps. Maar hoe dat op andere ossen zit, weet ik niet.

        Voor wat betreft de voorlichting: bot gezegd geloof ik er geen zak van dat het gros van de mensen zoiets echt gaat lezen. Helemaal de laaggeletterden onder ons niet. Die willen gewoon die app of dat spelletje en het moet verder niet zeuren dus klikken ze maar op ja in de popup om alles aan de praat te krijgen. Ik maak dagelijks in mijn werk mee dat computergebruikers zelfs éénregelige kortwoordige tekstjes niet lezen (de meeste mensen mensen lezen zelfs niet eens het woordje “duwen” of “trekken” op een deur…), dus het principe van informed consent gaat je hier niet verder helpen.

      • Tja, een zaklamp met GPS komt niet op mijn toestel. Toch heb ik een zaklamp-app op mijn telefoon die naast een zaklamp ook allerlei extra functies heeft. Ook daar lijkt GPS niet echt nodig, behalve dan als je later wilt weten waar je de app hebt gebruikt. Kijk, bij een fototoestel zullen veel mensen de meerwaarde van GPS ook niet snel inzien. Toch begint GPS bijna een standaard onderdeel te worden van camera’s omdat mensen vergeten waar ze de foto hebben genomen. Nu weet de foto de locatie nog. 🙂 Wil ik later weten waar ik die zaklamp ooit nodig heb gehad? Denk het niet, dus zal het vast voor de advertenties bedoeld zijn. En om eerlijk te zijn, er zijn enorm veel apps voor Android en iOS waar de makers hun winst behalen via advertenties en niet uit de verkoop. Diverse gratis apps zijn volgeladen met advertenties waardoor ze niet echt bruikbaar zijn. En een betaalde, ad-vrije versie is er vaak niet voor te vinden.

  9. Toestemming vooraf kan niet alles regelen, je moet ook weten wat er gebeurt, en in die combinatie zit het gevaar.

    Een toetsenbord-app wil bijvoorbeeld toegang to contacten (om namen aan te vullen bij het typen) en internet toegang (om spellingschecker te updaten). Allebei vind ik prima, maar als de App mijn contactenlijst gaat zitten kopiëren en uploaden houdt het op.

    Ooit Whatsapp geinstalleerd: dat vroeg o.a. internet toegang en toegang tot contactpersonen. Logisch, maar erg onwenselijk vond ik dat de app gelijk al mijn contacten uploadde naar hun server. In mijn naïviteit meende ik voooraf dat ik dat wel zelf zou kunnen bepalen: die persoon wel en dat zakelijke contact niet etc.

    Installeren en opstarten van een app zou niet mogen leiden tot direct kopiëren van privacy en persoonsgegevens. Dan zou de gebruiker altijd per contact/gegeven expliciet moeten kunnen aangeven of ie dat toestaat, wanneer het gebeurt.

    Verplichte open-source biedt de beste oplossing. Dan heb je transparantie, en marktwerking die ongewenst gedrag eruit sloopt en gewenste functionaliteit verbetert en update.

    • Dit geldt ook voor PC-software. Je hebt het trouwens zelf in de hand: je kunt er voor kiezen om alleen maar open source software te installeren. Het wordt pas een probleem als je, door wat voor omstandigheden dan ook(*) wordt gedwongen om closed source software te gebruiken.

      (*) Bijvoorbeeld: doordat je moet communiceren met anderen via een gesloten standaard, door een hardware “jail”, of eenvoudigweg door het nog niet bestaan van een open source alternatief.

  10. Ergerlijk. Maar goed, er komt dus een popup die vraagt “Deze app wil je gps coördinaten” uitlezen en daar kun je ja op zeggen anders mag je de app niet installeren of de update niet gebruiken.

    Ik herken dit (gelukkig) niet bij iOS. Pas nadat ik een kaart heb geïnstalleerd wordt gevraagd of hij de GPS mag uitlezen. Meestal weiger ik dat soort vragen, en ik kan me niet heugen daar ooit een probleem mee gehad te hebben. Ja, ik moet inderdaad handmatig navigeren op een kaart, en bij chat moet ik handmatig contacten opgeven. Maar dat is dan mij keuze. De rest van de app is gewoon nog bruikbaar.

    Het is mij een raadsel waarom Android nog zo’n onhandig systeem heeft van vooraf toestemming vragen. Het enige voordeel van Android is wellicht de fijnmazigere toestemming die ingesteld kan worden (iOS heeft iets van 10 verschillende soorten toegang, Android volgens mij zeker 20 — zo maakt Android onderscheid tussen je eigen en andere contactgegevens in je adresboek, en kan je aangeven dat een app geen Internet mag gebruiken).

    Aanpassen achteraf is zowel op Android als op iOS even zoeken, maar goed te doen voor een beetje techneut (iOS: Settings > Permissions voor de meeste settings, maar net niet allemaal.)

    Het model van pas toestemming vragen echt nodig werkt voor mij. En het artikel The Right Way To Ask Users For iOS Permissions) lijkt dat de bevestigen voor een grotere groep gebruikers.

  11. De zaklamp die om GPS vraagt was zonder meer lachen. En deed het ook zonder. Ik zeg bij de meeste dingen nee en installeer ik de app niet bij verplichting (iOS). Dat gaat vrij goed. Zit zo wel zonder What’s app. Maar ik schijn een van de heel weinigen te zijn die niet wil dat die al mijn adressen gebruikt … Al is de vraag daar natuurlijk ook enigszins logisch.

  12. Wie gaat er in die situatie nee zeggen?

    En toch is dat de enige manier. We moeten echt leren nee te zeggen, tegen gemakzucht en peer-pressure in.

    en er dus geen zaklamp app meer te vinden is die gewoon alleen het lampje gebruikt.

    Inderdaad: niet te vinden – maar ze zijn er wel. Dus moeten we het zoeken vergemakkelijken. Het zou een zegen zijn als je in app-stores niet alleen op zaken als prijs, maar ook op rechten die een app vraagt kon filteren.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS