Uber-app op een iPhone

Apple introduceert DeviceCheck om fraude met apps te voorkomen

Apple heeft DeviceCheck aangekondigd. Daarmee kunnen ontwikkelaars zien of een app eerder geïnstalleerd was op een toestel en of er bijvoorbeeld fraude is gepleegd.

Apple heeft een nieuwe functie voor ontwikkelaars aangekondigd met de naam DeviceCheck. Daarmee kunnen ze achterhalen of een app eerder op hetzelfde toestel geïnstalleerd was. Het lijkt een directe reactie op de praktijken van Uber, waarvoor CEO Travis Kalanick op het matje moest komen bij Tim Cook.

Uber-app op een iPhone

Reactie op Uber?
Afgelopen april schreven we dat Uber bijna uit de App Store was verwijderd vanwege privacyschending. Tim Cook bemoeide zich persoonlijk met de zaak en nodigde de CEO van Uber uit op het hoofdkantoor. Uber bleek namelijk vast te leggen op welke iPhones de Uber-app al eerder was geïnstalleerd. Die informatie bleef bewaard als mensen de app verwijderden van hun toestel. In iOS 11 gaat Apple hiervoor een oplossing bieden. Het is daarmee mogelijk om te checken of een app al eerder is geïnstalleerd, zonder dat je privacy in gevaar komt.

Apple’s nieuwe functie heet DeviceCheck en zet een soort digitale vingerafdruk op het toestel. Als een gebruiker de app verwijdert, is alsnog na te gaan of iemand bijvoorbeeld al de gratis proefperiode heeft gebruikt, of dat iemand op een zwarte lijst staat. De lijst wordt beheerd door de ontwikkelaar.

Devicecheck iOS

DeviceCheck is privacyvriendelijker

Met DeviceCheck is het niet mogelijk om iemands locatie te tracken. Ook vindt er geen tracking plaats op het moment dat iemand de app niet op het toestel heeft staan. Pas op het moment dat iemand de app opnieuw installeert zal worden gekeken of het een terugkerende gebruiker is, zo vertelde Apple’s privacy engineer Katie Skinner tijdens een sessie op WWDC 2017.

Uber gebruikte de ongeoorloofde tracking van gebruikers om fraude onder (voornamelijk Chinese) taxichauffeurs te voorkomen. De chauffeurs installeerden de app steeds als nieuwe gebruiker, op wisselende toestellen, wat ze extra voordeeltjes opleverde. Uber ontwikkelde daarom een soort digitale vingerafdruk om een zwarte lijst van toestellen te kunnen aanleggen, maar ze hielden dit geheim voor Apple. Ze zorgden er met locatietracking voor dat Apple-medewerkers in de buurt van het Apple-hoofdkantoor een ‘schone’ versie van de app te zien kregen. Ze wisten dat het aanleggen van een lijst met toestel-serienummers niet was toegestaan. Apple ontdekte het toch en riep in 2015 Uber op het matje.

Devicecheck codes

DeviceCheck op iOS en tvOS

DeviceCheck werkt zowel op iPhones, iPad als Apple TV’s. Ontwikkelaars kunnen een toestel daarbij een app koppelen aan een toestel, waarbij ook het tijdstip wordt vastgelegd. Deze registratie is permanent. Ontwikkelaars kunnen op die manier fraude voorkomen, terwijl de privacy van consumenten beter wordt beschermd. Ontwikkelaars hoeven dan niet meer zelf lijsten met serienummers of andere gegevens van fraudeurs te verzamelen.

Het werkt als volgt: ontwikkelaars sturen een 2-bit code (00, 01, 10 of 11) en een tijdstempel naar Apple. De informatie blijft bij Apple bewaard totdat de ontwikkelaar de registratie wijzigt of verwijdert. Met de vier codes kunnen ontwikkelaars zelf bepalen wat ze willen registreren, bijvoorbeeld frauduleus gedrag, of toestellen die al de gratis proefperiode hebben verbruikt.

Tweedehands toestellen
Dit zou overigens problemen kunnen opleveren bij tweedehands toestellen. Op het moment dat jij een proefabonnement op een digitale krant wil nemen, kan blijken dat de vorige eigenaar dit al eens heeft gedaan. Je krijgt dan een melding dat je al gebruik hebt gemaakt van de gratis proefperiode en dat je vanaf nu moet betalen. Apple heeft ook aan dit scenario gedacht, maar heeft er geen oplossing voor. Apple’s privacy-expert Katie Skinner waarschuwde ontwikkelaars dat ze hiervoor zelf iets moeten verzinnen. Een gebruiker zou bijvoorbeeld contact kunnen leggen met de ontwikkelaar om de code te resetten.

Het voordeel is dat appontwikkelaars geen serienummers of andere data meer hoeven te verzamelen en dat Apple niet hoeft te weten wat de codes 00, 01. 10 en 11 betekenen. Apple legt alleen de cijfers vast, maar weet niet welke betekenis ze voor de ontwikkelaar hebben.

Meer informatie over DeviceCheck is te vinden op de website van Apple. Ook kun je de video van de sessie over ‘Privacy and Your Apps’ nog eens bekijken.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 8 juni 2017, 9:27
Categorie Apple
Onderwerpen fraude, uber, wwdc, wwdc 2017

Reacties zijn gesloten voor dit artikel.