Facebook Messenger weet nóg meer van je dan je al dacht

Het komt niet als een verrassing dat vrijwel elke mobiele app op een of andere manier het gedrag van de gebruiker bijhoudt. Maar de Facebook Messenger-app voor iOS volgt blijkbaar veel meer dan de meeste gebruikers ervan zouden denken.

iOS veiligheidsonderzoeker Jonathan Zdziarski heeft zijn dinsdagochtend gebruikt om eens goed naar de softwarecode van de Messenger-app te kijken. Op een gegeven moment schreef hij op Twitter: "Messenger blijkt meer spyware-achtige code te hebben dan ik heb gezien in producten die juist bedoeld waren voor toezicht op bedrijven."

In een email schreef Zdziarski dat Messenger vrijwel alles bijhoudt wat een gebruiker zou kunnen doen met de app. Van wat en waarvandaan je typt, tot hoe vaak het apparaat horizontaal of verticaal wordt vastgehouden; zelfs de tijd dat je de app gebruikt tegenover de tijd dat de app op de achtergrond draait.

Sommige van deze dingen zijn logisch voor een app-ontwikkelaar om te willen weten, maar van groter belang zijn de dingen die Zdziarski vond, waarvan het doel minder duidelijk is.

"[Facebook] gebruikt meerdere privé API's waarvan ik niet wist dat die beschikbaar waren in de sandbox om jouw wifi SSID (die gebruikt kan worden om te checken op welke wifinetwerken je zit) uit te lezen en tapt zelfs de proceslijst voor verschillende informatie op het apparaat af," schreef hij in een email.

Op Twitter schreef Zdziarski dat hij heeft gewerkt voor bedrijven die software schreven om toezicht te houden op andere bedrijven en dat zij niet wisten dat dit niveau van toegang mogelijk was.

Ik vroeg aan onafhankelijk veiligheidsonderzoeker Ashkan Soltani via email of Facebooks verhouding met Apple – een Facebook-account direct ingebakken in iOS – wellicht Facebook meer toegang zou geven tot API's en mogelijkheden die andere ontwikkelaars niet hebben. Soltani schreef dat mijn voorgevoel klopte.

Verschillende softwarecodes die Zdziarski ontdekte eindigen met de onheilspellende zin, ["DO_NOT_USE_OR_YOU_WILL_BE_FIRED"]. iPhone-hacker Chpwn (ook bekend als Grant Paul) werkt tegenwoordig voor Facebook en voegde zich bij ons Twitter-gesprek om te melden dat hij die codes heeft geschreven en het allemaal een inside joke is.

Het is alleen niet duidelijk wat sommige van die codes als functie hebben. Sommige heten "globalProviderMapData" en isHeadPublisher" en het blijft vaag waarom, zelfs als het een grap is, er in de code zelf gedreigd wordt met ontslag.

Zdziarski waarschuwde per email dat "een paar uur rondneuzen niet genoeg harde conclusies kan opleveren… Maar er is heel veel code die suggereert dat Facebook vrijwel alles registreert wat ze kunnen registreren op jouw apparaat."

Facebook weigerde om officieel commentaar te geven, maar een woordvoerder wees me wel op een Twitterbericht van Facebook Messenger ontwikkelaar Lucy Zhang. Zhang vertelde Zdziarski dat het "waarschijnlijk geen verrassing is dat we gebruikers volgen om hun gebruik van de app te doorgronden en op die manier de app sneller en efficiënter te maken."

Ze kwam met het voorbeeld dat ze via gebruiksinformatie erachter kwamen dat gebruikers veel met de Like-knop bezig waren en dat ze deze knop verplaatst hebben zodat mensen met Messenger minder moeite hoeven te doen op te typen en deze knop te gebruiken.

Voor app-ontwikkelaars is het niet ongebruikelijk om gebruikers te volgen, zodat ze kunnen checken hoe hun app wordt gebruikt, maar het is vaak voor gebruikers onduidelijk hoeveel data een app kan verzamelen – als al überhaupt verteld wordt dat ze gevolgd worden.

Zelf als apps eerlijk zijn over welke data er verzameld wordt – zoals de Facebook Messenger-app voor Android – dan is er nog steeds geen goede uitleg over wat het precies betekent als je de app toestemming geeft. Facebook moest oppassen voor verzet tegen de Messenger-update voor Android in augustus toen gebruikers zich gingen afvragen waarom de app toestemming vroeg naar hun camera, microfoon, berichten en meer. Ze gingen natuurlijk uit van het ergste.

De redenen bleken uiteindelijk relatief goedaardig, maar de zorgen zouden als waarschuwing moeten dienen dat het voor een app tegenwoordig niet meer genoeg is om zomaar om gevoelige informatie te vragen zonder toelichting. Wellicht is het nog deels de kater van de NSA-affaire rond Edward Snowden, maar app-ontwikkelaars zoals Facebook en appstore-aanbieders Apple en Google moeten in de toekomst beter gaan uitleggen waarom ze bepaalde informatie willen en hoe ze deze informatie gebruiken.

Uiteindelijk komt het erop neer of je Facebook wel of niet vertrouwt om geen misbruik te maken van hun positie om op je telefoon rond te snuffelen," schreef Zdziarski. "De technische mogelijkheden om dit te doen zijn er in ieder geval al wel."