Facebook kan van alle Android-gebruikers zien wanneer ze bepaalde apps openen en hoe lang ze die gebruiken. Bovendien sturen sommige apps mogelijk veel gedetailleerdere informatie door. Dat komt door het gebruik van de sdk voor app-ontwikkelaars.
Het maakt daarbij niet uit of mensen bij Facebook zijn ingelogd of niet, blijkt uit een rapport van de Britse privacy-organisatie Privacy International. Als een app geen Facebook-id kan doorsturen, gebruikt het Googles Android Advertising ID (AAID). De melding, een call naar graph.facebook.com, maakt duidelijk dat een gebruiker een app opent en andere calls maken duidelijk wanneer gebruikers de app sluiten. Dat gebeurt bij veel apps, waaronder Spotify, Tripadvisor, Skyscanner en Duolingo.
Apps sturen in veel gevallen data door op het moment dat gebruikers de app openen. Veel van die apps bieden de mogelijkheid om in te loggen via Facebook, maar of gebruikers dat doen, maakt voor de dataverzameling niet uit. Inmiddels lijkt het erop dat er een functie is om de eerste api-call uit te stellen om te voldoen aan de Europese privacywetgeving AVG. Veel ontwikkelaars gebruiken die functie nog niet en overtreden daarmee mogelijk de AVG.
Sommige apps sturen meer data door. Zo laat de app Kayak weten welke zoekopdrachten gebruikers uitvoeren, zoals van welke stad ze willen vliegen en welke bestemming ze hebben opgezocht. De data is door het gebruik van de Facebook-ID of AAID te combineren, waardoor Facebook kan weten welke apps met de Facebook SDK zijn geopend. Op deze manier kan het een profiel opbouwen van gegevens en interesses.
Een medewerker van Privacy International heeft bovendien een dataverzoek bij Facebook gedaan op basis van zijn mailadres en AAID, maar heeft geen data van het socialemediabedrijf gekregen. Facebook geeft daar geen uitleg over, maar lijkt moeite te hebben met dataverzoeken van gebruikers zonder Facebook-account.
Het is onbekend hoeveel Android-apps gebruik maken van de sdk van Facebook. Alleen apps die daar gebruik van maken, sturen data door naar het Amerikaanse bedrijf. De onderzoekers hebben apps uitgezocht die referenties maakten naar Facebook in het apk-bestand, waardoor het onderzoek niet representatief is voor alle Android-apps.
Voor het onderzoek gebruikte Privacy International een Nexus 5 met LineageOS op basis van Android 8.1. Dat was op moment van testen niet de nieuwste versie, want dat is Android 9.0 Pie. De onderzoekers gebruikten mitmproxy om data te onderscheppen op een laptop met Debian 10. De test van 34 apps vond plaats tussen augustus en december van dit jaar. Sommige apps zijn meerdere keren getest. Het is onbekend of en hoe Facebook de op deze manier vergaarde data heeft gebruikt.
bron: Arnoud Wokke