Bijna de helft van alle populair iPhone-apps oogst de persoonlijke data van het unieke toestel-id (UDID). Dat blijkt uit onderzoek (PDF) van onderzoekers van de universiteit van Californië. Zij hebben 225.000 apps geïnstalleerd op 90,000 iPhones tegen het licht gehouden.

Uit hun analyse blijkt dat tussen februari 2012 en december 2012 nog altijd 48 procent van de apps toegang heeft tot de UDID van het toestel waarop zij waren geïnstalleerd, meldt MIT News. Door een UDID in een cookie te plaatsen is het mogelijk om iPhones te tracken qua surfgedrag op internet. Dit druist in tegen het in maart 2012 aangekondigde beleid van Apple zelf. Aanvankelijk was dat een advies van de iPhone-maker, vooruitlopend op de beleidswijziging voor UDID-gebruik.

Gejailbreakte iPhones gebruikt

Het onderzoek is uitgevoerd met behulp van de zelf gebouwde applicatie ProtectMyPrivacy, die alle data van toestellen verzamelde. Aangezien Apple’s besturingssysteem iOS dergelijke apps niet toestaat, zijn voor het onderzoek allemaal iPhones met een jailbreak gebruikt. Volgens de onderzoekers zijn de resultaten hierdoor nog altijd relevant voor alle iPhone-gebruikers, aangezien het voor een zeer groot deel om precies dezelfde apps gaat.

Sinds 1 mei is Apple’s officiële beleid om apps te weigeren die toegang willen tot de UDID. Toch is onduidelijk hoe strikt dit wordt nageleefd. Volgens onderzoeker Yuvraj Agarwal die het onderzoek aanvoerdde, proberen veel apps nog altijd om toegang te krijgen tot het unieke apparaatnummer. Dit zou gelden voor ongeveer 40 procent van alle apps.

Sommige van deze apps zijn geüpdatet ná 1 mei, de datum waarop Apple's formele verbod is ingegaan. Dit suggereert dat de App Store-eigenaar óf niet alle UDID-opvragende apps kan weren óf dat het sommige apps bewust doorlaat. Onderzoeker Agarwal is verbaasd over de resultaten van het onderzoek, die hij wijt aan de 'vrije' API (application program interface) van iOS 6 waarlangs de UDID-opvragingen worden gedaan.

iOS 7 blokkeert wel UDID-toegang

Daar komt allicht een einde aan met iOS 7, dat dit najaar uitkomt. Volgens security-expert Jeremy Linden van Lookout gaat Apple alle toegang tot UDID in iOS7 blokkeren. De iPhone-maker zou daarnaast nog meer maatrgelen voor privacy nemen, waaronder IDFA (identifier for advertising) waarmee gebruikers tracking kunnen uitschakelen op hun iPhone.

Onderzoeker Argarwal probeerde volgens MIT News de onderzoeksresultaten van ProtectMyPrivacy aan te bieden als iPhone-app. Daar heeft Apple echter een stokje voor gestoken. Het bedrijf zou “een probleem met het concept van de app” hebben.