Hoe adverteerders weten welke Android-apps u gebruikt

Leer meer over identificators van Android-apparaten en hoe apps daar misbruik van maken om meer geld aan ads te verdienen.

We hebben het al eerder gehad over de mechanismes van internet-advertenties en trucs die advertentienetwerken gebruiken om meer te weten te komen over de websites die u bezoekt. Maar uw virtuele leven bestaat zeker niet alleen uit websites. Het is zeer waarschijnlijk dat u een flinke portie van uw tijd aan mobiele applicaties besteed, en ook die verdienen geld aan ads: net als websites werken ze samen met advertentienetwerken.

Om adverteerders in staat te stellen om een gedetailleerd dossier over u samen te stellen zodat ze gepersonaliseerde ads kunnen leveren, voeden mobiele apps ze informatie over uw apparaat — zelfs informatie waarvan Google het niet toestaat dat deze voor advertenties wordt gebruikt.

Welke informatie kan helpen bij het tracken van uw Android-apparaat?

Wat kunnen apps advertentienetwerken vertellen over uw smartphone? Ten eerste dat ze op het apparaat geïnstalleerd staan. Met deze informatie van een aantal apps kan het advertentienetwerk leren wat uw interesses zijn, en welke ads waarschijnlijk uw aandacht zullen trekken. Als u bijvoorbeeld veel selfies maakt en Instagram en Snapchat op uw telefoon heeft geïnstalleerd, dan zult u advertenties zien die filters en effecten voor foto’s aanprijzen.

Advertentienetwerken gebruiken identificators om ervoor te zorgen dat ze het precieze apparaat kennen waar elke app op draait. Elke Android-smartphone of -tablet bevat normaal gesproken zulke identificators, en de meeste ervan waren nooit bedoeld om adverteerders te helpen.

Unieke IMEI-codes helpen om telefoons binnen mobiele netwerken te identificeren en bijvoorbeeld gestolen apparaten te blokkeren. Een serienummer kan helpen bij het vinden van alle gadgets van dezelfde defecte batch om ze uit de winkels te halen. Een MAC-adres, nog zo’n unieke identificator, schakelt netwerken in en kan vooral bruikbaar zijn bij het beperken van de lijst gadgets die u toestemming geeft om met uw huis-wifi te delen. Tenslotte gebruiken app-ontwikkelaars Android ID’s (oftewel SSAID’s) om licenties voor hun producten te beheren.

Lange tijd bestonden er helemaal geen aparte advertentie-identificators, dus apps deelden de bovengenoemde ID’s met hun partners. En er was voor gebruikers eigenlijk geen manier om aan de gepersonaliseerde ads te ontkomen: IMEI of MAC zijn unieke codes die elk apparaat eenvoudig identificeren. Elke keer dat een advertentienetwerk zo’n code ontvangt, begrijpt het netwerk dat de app op uw specifieke telefoon is geïnstalleerd.

In theorie kunnen deze codes worden aangepast — daar bestaan ook apps voor — maar dat is niet zo eenvoudig, en wat erger is: het vormt een bedreiging voor uw telefoon om dit te doen. U heeft namelijk root-toegang nodig voor zulk soort experimenten, en dat maakt uw apparaat kwetsbaar. Bovendien is het tweaken van IMEI ook nog eens illegaal in sommige landen.

Het is eenvoudiger om simpelweg het Android ID te wijzigen: zet uw telefoon of tablet terug naar de fabrieksinstellingen en dat is alles. Maar zodra u dat doet, moet u alles weer opnieuw instellen, alle apps opnieuw instellen en op elke app opnieuw inloggen. Dat is nogal een gedoe, dus dat doen mensen niet graag vaak.

Advertentie-ID — theorie

In 2013 introduceerde Google een speciaal advertentie-ID om tot een compromis te komen tussen Android-gebruikers en de advertentie-industrie. Google Play Services wijst het ID toe, en gebruikers kunnen het resetten en een nieuw ID creëren als dat nodig is, via <em>Instellingen → Google → Advertenties → Advertentie-ID resetten</em>. Aan de ene kant stelt de identificator advertentienetwerken in staat om de gewoontes en hobby’s van de gebruikers van het apparaat te volgen. Aan de andere kant kunt u, als u niet zo dol bent op het idee van adverteerders die u bespioneren, dit ID wanneer u maar wilt resetten.

Google Play Store-regels stellen dat adverteerders alleen het speciale advertentie-ID mogen gebruiken, en geen andere, voor hun advertentiedoeleinden. Het platform verbiedt het niet om dit ID aan andere identificators te linken, maar apps hebben daar wel toestemming van de gebruiker voor nodig.

De verwachting was dat als u niets tegen gepersonaliseerde ads had, u het advertentie-ID met rust zou laten en zelfs toestemming aan apps zou geven om het waar dan ook aan te koppelen. En als u dat niets vond, kon u er eenvoudig voor zorgen dat dit ID niet aan andere ID’s gekoppeld werd door het zo nu en dan te resetten, en uw apparaat op die manier van het eerder verzamelde dossier los te koppelen. Helaas liep het in werkelijkheid niet zo.

Advertentie-ID — realiteit

Volgens onderzoeker Serge Egelman gebruikt meer dan 70% van de Google Play-apps minstens één extra identificator zonder notificatie. Sommige daarvan — bijvoorbeeld 3D Bowling, Clean Master en CamScanner zijn door miljoenen mensen gedownload.

De meeste daarvan gebruiken Android ID’s, maar IMEI’s, MAC-adressen en serienummers zijn ook erg handig. Sommige apps versturen wel drie of meer identificators tegelijk naar hun partnernetwerken. Het spelletje 3D Bowling gebruikt bijvoorbeeld het advertentie-ID, IMEI én Android ID.

Dit soort praktijken zorgt ervoor dat het hele idee van advertentie-ID’s nutteloos is. Zelfs als u deze spionage haat en uw advertentie-ID blijft resetten, zal het advertentienetwerk gebruikmaken van andere, hardnekkigere identificators om een nieuw advertentie-ID aan uw bestaande profiel te koppelen.

Schadelijke Android-app meer dan 100 miljoen keer gedownload via Google Play

Hoewel dit soort gedrag niet indruist tegen de regels van Google Play, is het niet eenvoudig om de apps op te sporen die misbruik maken van ID’s. Google controleert alle apps voor hun uitgave, maar wat minder eerlijke auteurs hebben hier iets op gevonden. Zelfs miners vinden een manier om de store binnen te komen — dus het is geen verrassing dat apps die geen overduidelijk kwaadaardige features bevatten normaal gesproken niet worden opgemerkt.

Google kan zulke apps niet simpelweg de toegang tot apparaat-identificators weigeren, aangezien die nuttig zijn voor meer dan alleen advertenties. Door mobiele apps toegang tot het Android ID te weigeren, zou Google voorkomen dat app-ontwikkelaars hun producten kunnen beschermen tegen het maken van illegale kopieën, wat inbreuk zou vormen op hun rechten.

De strijd tegen vervelende ads

Google heeft natuurlijk wel maatregelen genomen om het ID-misbruik te beperken. Om te beginnen met Android Oreo, de versie die ervoor zorgt dat elke app zijn eigen Android ID krijgt. Dus voor advertentienetwerken die op dit ID vertrouwen in plaats van het advertentie-ID, lijkt het alsof je Instagram op één apparaat staat geïnstalleerd, en je Snapchat op een ander apparaat, waardoor deze gegevens nutteloos worden voor gerichte advertenties.

Maar IMEI’s, serienummers en MAC-adressen kunnen zulke bescherming niet krijgen, en de markt zit vol smartphones en tablets die op oudere versies van Android draaien en nooit zullen worden geüpdatet tot Android Oreo. We raden daarom aan om gegevensverzameling te beperken via app-beheer.

  • Verwijder ongewenste apps regelmatig; hoe minder apps u geïnstalleerd hebt, hoe minder gegevens advertentienetwerken zullen verzamelen.
  • Geef geen onnodige toestemmingen aan apps die u wel wilt behouden. Deze voorzorgsmaatregel helpt u niet om volledig aan de spionage te ontkomen, maar het zorgt er in ieder geval voor dat apps niet klakkeloos uw IMEI weggeven. In dit geval is het de Telefoon-toestemming die apps toegang geeft tot IMEI. Dezelfde toestemming laat apps achter uw telefoonnummer komen, uw belgeschiedenis bekijken, telefoontjes plegen (op uw kosten) en nog veel meer, dus we raden u niet aan om deze te gebruiken.
Tips