Vingerafdruk

Is de iPhone 5S het perfecte moordwapen?

Zomaar een fictief plot, afgeleid van de veiligheidsrisico’s van de nieuwe fingerprint sensor van de iPhone 5S:

“Het was een rampzalige dag voor Jack Burner. De jonge, ambiteuze politicus was zwaar over de rooie gegaan, toen hij in Nieuwsuur geconfronteerd werd met uitspraken van zijn politieke rivaal Frank van Dam. Volgens presentatrice Tweebeke had die betweter gezegd dat Jack ‘door zijn verslaving de dingen al lang niet meer zo helder zag’. Giftig was hij geweest. Hoe durfde die vent! Dit was politieke karaktermoord van het ergste soort. Na de uitzending was hij direct doorgereden naar zijn favoriete club Jimmy Woo aan de Rozengracht. De opzwepende muziek en de geur van zweet en parfum werkte vaker kalmerend. De tijd verstreek. Na de zoveelste gin-tonic – hij was de tel kwijtgeraakt – kwam er een blonde dame naast hem zitten. Ze had benen die geen einde leken te hebben en twee fel blauwe ogen waar je gemakkelijk in kon verdrinken. De geur van haar heerlijke parfum zweemde steels langs zijn neus. Sinds Iris was weggegaan, nu precies 17 dagen geleden, had hij gehunkerd naar een beetje liefde. Hij liet het dan ook toe dat de vrouw naast hem haar hand via zijn dij naar zijn torso liet gaan, verscholen achter zijn colbert, om vervolgens zachtjes te strelen over zijn borst. Hij voelde haar adem in zijn nek en kon een rilling niet onderdrukken. Iris ‘had ruimte nodig’, had ze gezegd. Maar nadat gisteren de scheidingspapieren op de deurmat waren gevallen was hij gek geworden van verdriet. De gedachte aan Iris ontstak een nieuwe onrust. Haastig verontschuldigde Jack zich tegenover de dame en verliet stamelend de ruimte. Thuis aangekomen liet Jack zijn colbert van zich afglijden, liet zich op zijn bed vallen en viel als een blok in slaap. De volgende morgen ging de deurbel. Eerst kort, daarna lang. Indringend. Wie kon dat zijn? Vergeefs grabbelde hij in zijn colbert naar zijn iPhone. Hoe laat was het in Godsnaam! Hij stapte uit bed en liep dronken van de slaap – en ongetwijfeld van de vele gin – naar de voordeur. Door de deurspion zag hij twee mensen staan, onmiskenbaar politie. Wat hadden die hier te zoeken? Hij opende de deur. “Bent u Jack Burner?”, hoorde hij een van de dienstkloppers vragen. Met een stem, die pijnlijk schor klonk, antwoordde Jack: “Helemaal, wat kan ik voor u doen?”. Hij werd gevraagd mee te komen naar het bureau. Hij mocht zijn jas pakken maar verder geen vragen stellen. Aangekomen op het politiekantoor werd al gauw duidelijk dat er iets vreselijks was gebeurd: Frank van Dam was die ochtend dood aangetroffen in een hotel aan de Herengracht. Vermoord. Maar wat had hij daarmee te maken?? Een spervuur van vragen werd op hem afgevuurd: “Wij hebben vastgesteld dat u vannacht in de Jimmy Woo bent geweest. Hoe laat bent u daar weggegaan? Waar bent u daarna naar toe gegaan? Wie heeft u onderweg gezien? Heeft u verder iemand die kan bevestigen dat u direct naar huis bent gegaan? Was u zo kwaad op uw politieke rivaal Frank van Dam, dat u hem heeft vermoord?”. Jack begreep dat het gebeuren verdacht was, maar hij had niets met de zaak te maken. De klabak vervolgde: “Is dit uw telefoon?”. Jack schrok, maar herkende de kunststof cover met de afbeelding van Iris en knikte bevestigend. “Heeft u een verklaring voor het feit dat we uw telefoon op 50 meter afstand van het plaats delict hebben gevonden?”. Jack begreep nu waarom hij zijn iPhone die ochtend niet had kunnen vinden. Hij had er voor het interview in Nieuwsuur nog mee gebeld en het daarna – met het geluid uit – teruggestoken in de binnenzak van zijn colbert. Wanneer was hij het dan kwijtgeraakt? Vragen spookten door zijn hoofd. De hoofdpijn van gisteravond leek in niets op wat hij nu voelde. “Heeft u een verklaring voor het feit dat we deze telefoon hebben kunnen volgen van de Jimmy Woo naar het plaats delict?”. Jack was stomverbaasd, maar zijn adrenaline schoot naar recordhoogte bij de vraag: “En heeft u een verklaring voor het feit dat we uw vingerafdruk op het moordwapen hebben gevonden?”. Jack wist niet wat hij hoorde. Welk moordwapen? Hoezo was mijn vingerafdruk daarop gevonden? Wat is dit?! “Jack Burner, wij stellen u hierbij in staat van beschuldiging voor de moord op Frank van Dam. U heeft het recht ..”. Het licht leek uit te gaan bij Jack Burner. Die dame in de Jimmy Woo .. die hand op mijn borst .. mijn God .. ik ben erin geluisd!”

Sinds het uitkomen van de iPhone 5S maken veiligheidsexperts zich grote zorgen over het gebruik van de fingerprint sensor. Sommige experts vinden het gebruik van biometrische herkenning op smartphones per definitie onverstandig, omdat deze kenmerken een leven lang moeten meegaan. Apple op haar beurt zegt dat het de gegevens alleen opslaat op de telefoon zelf. Niet als plaatje, maar als databestand. Maar stel nu eens dat een hacker toegang krijgt tot een telefoon met zo’n databestand van jouw vingerafdruk en het proces van herkenning kan omdraaien naar .. het reproduceren van die vingerafdruk. De combinatie van een telefoon met GPS en het beschikken over de vingerafdruk van de houder maken het een perfecte setting voor het laten beschuldigen van iemand voor een moord die ze nooit hebben gepleegd. Denk daar maar eens over na ..

Ophef over de Almere App

Als co-presentator van het programma De Digitale Media werd mij maandagochtend door de redactie van Omroep Flevoland om mijn mening gevraagd over de ‘vrijheden’ die de AlmereApp zich bij installatie op een smartphone toeëigend.

Volgens Marco Penninkhof zijn die rechten te algemeen en geven ze de Gemeente Almere (en/of de applicatieontwikkelaar) de mogelijkheid om informatie van gebruikers (burgers) op te slaan, in te zien en zelfs te wijzigen. Heeft hij een valide punt?

Wat is de AlmereApp?
Het is een digitale versie van de Gemeentegids, aangevuld met agenda- en nieuwsberichten van de Gemeente. De App is ontwikkeld voor smartphones (Apple iPhones en Google/Android smartphones). Op het eerste gezicht een mooi initiatief van een vooruitstrevende gemeente. Maar misschien wel iets tè vooruitstrevend ..

Machtigingen
Bij de installatie van de AlmereApp krijg je op Google/Android smartphones vooraf te zien welke rechten de applicatie dient te krijgen:

  • Uw locatie
  • Volledige Internettoegang
  • Contactgegevens lezen/opslaan
  • Inhoud van USB-opslag wijzigen/verwijderen

Bij de installatie op een iPhone is helaas niet te zien welke machtigingen je aan de AlmereApp geeft, maar het lijkt voor de hand liggend dat die identiek zijn. Laten we de machtigingen eens afzonderlijk bekijken.

Uw locatie
De meeste smartphones hebben een GPS aan boord. De AlmereApp speelt hierop in door je GPS uit te lezen en je te helpen bij het vinden van de dichtsbijzijnde fietsenstalling of gezondheidscentrum. Zondermeer handig, maar de applicatie moet dan wel het recht hebben je GPS data uit te lezen.

Maar wat als je dat nou niet wilt? Want diezelfde data kan ook verzameld worden om je gang door de stad in kaart te brengen. Of om vast te stellen dat je wel erg vaak ’s nachts op een andere locatie bent, terwijl je aangeeft niet samen te wonen. Afijn, bedenk het maar: de sociale dienst, belastingdienst, etc. Ze zullen je dankbaar zijn. Ik zeg niet dat het gebeurt .. maar het kán met die machtiging.

Volledige Internettoegang
De AlmereApp biedt informatie over bakkendagen en faciliteiten ‘om me heen’. Om die informatie af te stemmen op de gebruiker zullen gegevens moeten worden verstuurd naar en opgehaald worden van de Appserver en hiervoor is internettoegang nodig.

Maar welke informatie stuurt de applicatie naar de Appserver? In principe kan dat je hele adressenboek zijn, al je belgegevens, etc. Dat wil niet zeggen dat het gebeurt, maar het kán.

Contactgegevens lezen/opslaan
Stel je vind via ‘om me heen’ het dichtsbijzijnde gezondheidscentrum. Dan biedt de AlmereApp je de mogelijkheid de contactgegevens direct weg te schrijven naar je adressenboek. Voor zover mij bekend gaat het alleen om adresgegevens en bijvoorbeeld niet om het telefoonnummer. Vreemd, want die info is wel beschikbaar.

Maar met deze machtiging kan de applicatie dus al je relatiegegevens bekijken, downloaden en desgewenst wijzigen. Dat mogen meer applicaties, maar het gaat hier wel om een overheidsinstelling. Met deze machtiging vraag ik me ook af of de Gemeente Almere niet in strijd handelt met de regels van het College bescherming persoonsgegevens (CBP). Nogmaals, het privacy statement biedt geen duidelijkheid.

Inhoud van USB opslag wijzigen/verwijderen
De applicatie moet geïnstalleerd worden op je smartphone. Als je ervoor kiest om de AlmereApp op een SD-kaart of USB-opslag te installeren, dan zal de applicatie rechten moeten krijgen om te lezen/schrijven naar die kaart/opslag. Ook als de Appserver data doorgeeft, die op de gebruiker is afgestemd, zal er naar die kaart/opslag moeten worden weggeschreven.

Ook kun je je postcode en huisnummer ingeven om de ophaaldagen voor de afvalbakken te bekijken. De AlmereApp slaat die gegevens in de smartphone op.

En niet te vergeten je contactgegevens. Als je die standaard opslaat op je SD-kaart of USB-opslag, dan zal de AlmereApp die gegevens daar moeten kunnen lezen/schrijven.

Maar het recht om te lezen/schrijven naar de SD-kaart of USB-opslag geeft de applicatie veel meer rechten dan nodig is. Voor het ophalen van de ophaaldagen van de afvalbakken kan je de gebruiker vragen om iedere keer opnieuw postcode en huisnummer weer te geven, zonder dat je die gegevens hoeft op te slaan.

Alternatief
Dat de applicatie veel handige functies biedt is overduidelijk, maar helaas begeeft de Gemeente Almere zich met de benodigde machtigingen op zeer glad ijs. Het ontbreken van een volwaardig privacy statement en onduidelijkheid over het waarom van de machtigingen rechtvaardigt mijn inziens de ontstane ophef.

Tegelijk is dit een mooi leermoment. Burgers zijn niet zomaar gebruikers. En de Gemeente en haar diensten op je smartphone binnenhalen opent deuren die je misschien liever gesloten laat. Het was slimmer geweest als de Gemeente had gekozen voor een opt-in beleid, waarbij de gebruiker voor iedere machtiging apart toestemming geeft. Dit werkt uiteraard alleen als je precies uitlegt waar je die machtiging voor nodig hebt en op welke manier je die machtiging gebruikt. En belangrijker nog, wat je er NIET mee doet. Daarnaast is de integriteit van de Gemeente Almere is geen vanzelfsprekendheid, die moet je borgen in een privacy statement!

Conclusie
Het valt niet mee om enerzijds een mooie applicatie te ontwikkelen – met allerlei handige functies – en tegelijkertijd oog te hebben voor de privacy van de burgers. Met de lancering van de AlmereApp (en de lauwe reactie vanuit de Gemeente) is duidelijk dat Almere zich niet bewust is van de privacy-inbreuken die deze applicatie in potentie heeft. Nogmaals, ik zeg niet dat de Gemeente Almere uit is op inbreuken, maar ze heeft er wel de ideale omgeving voor gecreëerd. Ik ga dan ook mee met de aanbeveling van Brenno de Winter om de applicatie voorlopig niet te installeren.

Update: Gemeente past AlmereApp (deels) aan.