Vecka det upptäcktes som en applikation som heter Path laddar upp hela innehållet i kontaktboken från användarnas iPhones till utvecklarföretagets servrar. Utvecklarna av applikationen kände igen praktiken och släppte en uppdatering för applikationen som löser problemet och ber användarna om ursäkt. I veckan upptäcktes det Twitter, Facebook, Instagram, Yelp, Foursquare och andra sådana applikationer tar samma data från adressboken utan att varna användare om denna aspekt.
Eftersom problemet är ganska viktigt för amerikaner, den amerikanska kongressen skickade idag ett brev till Apples vd, Tim Cook, där han ber honom att ge förklaringar om hur applikationer har tillgång till adressboken och överför data från den utan användarnas medgivande. Kongressmedlemmarna vill veta hur Apple kontrollerar de applikationer som ska lanseras i App Store och hur de skyddar sina kunder mot datastöld, saker som Apple måste detaljera senast den 29 februari.
Den ljusa sidan av denna skandal? iOS kommer att inkludera en ny säkerhetsåtgärd som kommer att meddela oss när en applikation försöker ta data från vår adressbok. Ett liknande system finns för Push Notifications och GPS, men jag tror att vi i iOS 5.1 kommer att ha något liknande för kontaktboken.
Mr. Tim Cook
Verkställande direktör, Apple Inc.
1 Oändlig Loop
Cupertino, CA 95014
Kära herr Cook:
Förra veckan bloggade den oberoende iOS-apputvecklaren Arun Thampi om sin upptäckt att den sociala nätverksappen "Path" kom åt och samlade in innehållet i hans iPhone-adressbok utan att någonsin ha bett om hans samtycke.[1] Informationen som tagits utan hans tillåtelse – eller de enskilda kontakter som äger den informationen – inkluderade fullständiga namn, telefonnummer och e-postadresser.[2] Efter mediabevakning av Mr. Thampis upptäckt bad Paths medgrundare och VD Dave Morin snabbt om ursäkt, lovade att radera från Paths servrar all data som den hade tagit från sina användares adressböcker och tillkännagav lanseringen av en ny version av Path som skulle uppmana användare att välja att dela sina kontakter i adressboken.[3]
Denna incident väcker frågor om huruvida Apples policyer och praxis för utvecklare av iOS-appar kan misslyckas när det gäller att skydda informationen från iPhone-användare och deras kontakter.
Datahanteringssektionen på din iOS-utvecklarwebbplats säger: "iOS har en omfattande samling verktyg och ramverk för att lagra, komma åt och dela data. . . . iOS-appar har till och med tillgång till en enhets globala data som kontakter i adressboken och foton i fotobiblioteket." [4] I avsnittet med riktlinjer för granskning av appbutiken står det: "Vi granskar varje app i App Store baserat på en uppsättning tekniska, innehållsmässiga och designkriterier. Dessa granskningskriterier är nu tillgängliga för dig i App Stores riktlinjer för granskning.”[5] Samma avsnitt anger att riktlinjerna endast är tillgängliga för registrerade medlemmar i iOS Developer Program.[6] Teknikbloggar som följer Path-kontroversen indikerar dock att iOS App Guidelines kräver att appar får en användares tillåtelse innan de "sänder data om en användare".[7]
Trots denna vägledning har påståenden gjorts att "det finns en tyst förståelse bland många iOS-apputvecklare att det är acceptabelt att skicka en användares hela adressbok, utan deras tillåtelse, till fjärrservrar och sedan lagra den för framtida referens. Det är vanligt och många företag har sannolikt din adressbok lagrad i sin databas."[8] En bloggare påstår sig ha genomfört en undersökning av utvecklare av populära iOS-appar och fann att 13 av 15 hade en "kontaktdatabas med miljontals register ” – med en som påstår sig ha en databas som innehåller ”Mark Zuckerbergs mobiltelefonnummer, Larry Ellisons hemtelefonnummer och Bill Gates mobiltelefonnummer.”[9]
Det faktum att den tidigare versionen av Path kunde få godkännande för distribution via Apple iTunes Store trots att innehållet i användarnas adressböcker togs utan deras tillåtelse tyder på att det kan finnas en viss sanning i dessa påståenden. För att bättre förstå och bedöma dessa påståenden ber vi dig att svara på följande frågor:
– Beskriv alla iOS App-riktlinjer som rör kriterier relaterade till integritet och säkerhet för data som kommer att nås eller överföras av en app.
- Beskriv hur du avgör om en app uppfyller dessa kriterier.
– Vilken data anser du vara "data om en användare" som är föremål för kravet att appen ska inhämta användarens samtycke innan den överförs?
- I den utsträckning som inte tas upp i svaret på fråga 2, vänligen beskriv hur du avgör om en app kommer att överföra "data om en användare" och om samtyckeskravet har uppfyllts.
– Hur många iOS-appar i USA:s iTunes Store överför "data om en användare"?
– Anser du att innehållet i adressboken är "data om en användare"?
– Anser du att innehållet i adressboken är kontaktuppgifter? Om inte, förklara varför inte. Förklara hur du skyddar kontaktens integritets- och säkerhetsintressen i hans eller hennes information.
– Hur många iOS-appar i USA:s iTunes Store överför information från adressboken? Hur många av dessa ber om användarens samtycke innan de överför sina kontaktuppgifter?
– Du har inbyggt i dina enheter möjligheten att på ett ställe stänga av överföringen av platsinformation helt eller app-för-app. Förklara varför du inte har gjort detsamma för adressboksinformation.
Vänligen ange den begärda informationen senast den 29 februari 2012. Om du har några frågor angående denna begäran kan du kontakta Felipe Mendoza med personalen i energi- och handelskommittén på 202-226-3400.
Vänliga hälsningar,
Henry A. Waxman, rankad medlem
GK Butterfield, Ranking Member
Underkommitté för handel, tillverkning och handel
