Over Path en het delen van je adresboek

09-02-2012

Een paar dagen terug werd duidelijk dat het volledige adresboek van al haar gebruikers naar de eigen servers verstuurde. Hoewel ze deze data alleen gebruikten om je gemakkelijk te kunnen melden dat je vrienden op Path zitten, hadden ze wel alle informatie. Zoals eerder gemeld werd dit ontdekt, en gaf de CEO van het bedrijf aan een oplossing te gaan zoeken. Sinds gisteren is een update van Path uit, waarin je expliciet toestemming moet geven voor je adresboek geüpload wordt. Ook plaatsen ze een excuuspost. Of ze inmiddels deze upload beperken tot e-mail-adressen (of hashes daarvan) is onduidelijk.

Inmiddels heeft dit geleid tot een bredere discussie over het gebruik van contactgegevens in iOS-apps. Zie bijvoorbeeld wat Marco Arment hierover schrijft. Voor het gebruik van locatiegegevens en foto's van de gebruiker moet een iPhone-app eerst toestemming krijgen. Toegang tot het adresboek is altijd mogelijk, terwijl hier zowel privacygevoeliger informatie als informatie die niet van de gebruiker is in wordt opgeslagen. Waarom reguleert Apple de toegang tot het adresboek niet (evenals trouwens die tot de kalender) terwijl zelfs het openen van een foto beperkt mogelijk is, en je toestemming moet geven om een push-bericht te kunnen ontvangen? Het massaal uploaden van contactinformatie is blijkbaar 'gewoon' aan het worden:

I did a quick survey of 15 developers of popular iOS apps, and 13 of them told me they have a contacts database with millons of records. One company's database has Mark Zuckerberg's cell phone number, Larry Ellison's home phone number and Bill Gates' cell phone number. This data is not meant to be public, and people have an expectation of privacy with respect to their contacts. (Dustin Curtis)

Apple stelt overigens in de voorwaarden voor developers wel dat deze praktijk niet toegestaan is. Technisch beperken ze het echter niet. Met een controle zoals locatiegegevens hebben, of door zoals bij de photo picker alleen toegang te geven tot een contact dat door de gebruiker geselecteerd is, kan de beveiliging van deze informatie een stuk sterker worden. Ondertussen mag Apple wat mij betreft gerust App-updates controleren op dit gedrag.