För en vecka sedan upptäcktes det att den populära sociala nätverksappen Path laddar upp användare hela adressböcker till sina servrar. De har sedan dess ursäktade och nukade data. Men Path är inte det de enda gör detta: andra högprofilerade företag som Twitter gör det också. Och Apple låter dem.
Inte så överraskande gillar kongressen inte vad den hör om säkerhetsfrågan i adressboken. Faktum är att House Energy & Commerce Committee ordförande Henry Waxman och Commerce Manufacturing and Trade Subcommissions ordförande G.K. Butterfield har skriven Apple ett brev med några hårda frågor om hur Apple har tillåtit detta att hända, och "om Apples iOS -app utvecklarpolicyer och metoder kan komma att bli korta när det gäller att skydda informationen från iPhone -användare och deras kontakter. ”
Herr Tim Cook
VD, Apple Inc.
1 oändlig loop
Cupertino, CA 95014
Kära Herr Cook:
Förra veckan bloggade den oberoende iOS -apputvecklaren Arun Thampi om sin upptäckt att den sociala nätverksappen "Path" öppnade och samlade innehållet i hans iPhone adressbok utan att någonsin ha bett om hans samtycke. [1] Den information som tagits utan hans tillåtelse - eller den för de enskilda kontakterna som äger den informationen - omfattade fullständig namn, telefonnummer och e -postadresser. [2] Efter mediatäckning av Thampis upptäckt bad Paths grundare och VD Dave Morin snabbt om ursäkt och lovade att ta bort från Paths servrar all data som den hade tagit från sina användares adressböcker och meddelade att en ny version av Path skulle släppas som skulle uppmana användarna att välja att dela sin adressbok kontakter. [3]
Denna incident väcker frågor om huruvida Apples policyer och metoder för utvecklare av iOS -appar kan komma att bli korta när det gäller att skydda informationen från iPhone -användare och deras kontakter.
I datahanteringsdelen på din iOS -utvecklarwebbplats står det: "iOS har en omfattande samling verktyg och ramar för lagring, åtkomst och delning av data... iOS -appar har till och med tillgång till enhetens globala data som kontakter i adressboken och foton i fotobiblioteket. ”[4] Appen avsnittet om riktlinjer för butiksgranskning säger: ”Vi granskar varje app i App Store baserat på en uppsättning teknik, innehåll och design kriterier. Detta granskningskriterium är nu tillgängligt för dig i riktlinjerna för granskning av App Store. ”[5] Samma avsnitt indikerar att riktlinjerna endast är tillgängliga för registrerade iOS -medlemmar. Utvecklarprogram. [6] Tekniska bloggar som följer Path -kontroversen indikerar dock att iOS -appens riktlinjer kräver att appar får en användares tillstånd innan de "överför [ting] data om en användare ”. [7]
Trots denna vägledning har det hävdats att "det finns en tyst förståelse bland många iOS -apputvecklare att det är det acceptabelt att skicka en användares hela adressbok, utan deras tillstånd, till fjärrservrar och sedan lagra den för framtiden referens. Det är vanligt och många företag har troligen din adressbok lagrad i sin databas. ”[8] En bloggare påstår sig ha genomfört en undersökning av utvecklare av populära iOS -appar och fann att 13 av 15 hade en "kontaktdatabas med miljontals poster" - varav en hävdade att ha en databas som innehåller ”Mark Zuckerbergs mobiltelefonnummer, Larry Ellisons hemnummer och Bill Gates mobiltelefon nummer. ”[9]
Det faktum att den tidigare versionen av Path kunde få godkännande för distribution via Apple iTunes Store trots att ta innehållet i användarnas adressböcker utan deras tillstånd tyder på att det kan finnas någon sanning i dessa påståenden. För att mer fullständigt förstå och bedöma dessa påståenden, begär vi att du svarar på följande frågor:
- Beskriv alla iOS App -riktlinjer som gäller kriterier relaterade till integritet och säkerhet för data som kommer åt eller överförs av en app.
- Beskriv hur du avgör om en app uppfyller dessa kriterier.
- Vilka uppgifter anser du vara "data om en användare" som är föremål för kravet att appen ska få användarens samtycke innan den överförs?
- I den utsträckning som inte tas upp i svaret på fråga 2, beskriv hur du avgör om en app kommer att överföra "data om en användare" och om kravet på samtycke har uppfyllts.
- Hur många iOS -appar i den amerikanska iTunes Store överför "data om en användare"?
- Anser du att innehållet i adressboken är "data om en användare"?
- Anser du innehållet i adressboken som uppgifter om kontakten? Om inte, förklara varför inte. Förklara hur du skyddar den kontaktens integritet och säkerhetsintressen i hans eller hennes information.
- Hur många iOS -appar i den amerikanska iTunes Store överför information från adressboken? Hur många av dem ber om användarens samtycke innan de överför sina kontaktuppgifter?
-Du har inbyggt i dina enheter möjligheten att stänga av på en plats överföringen av platsinformation helt eller på en app-för-app-basis. Förklara varför du inte har gjort detsamma för adressbokinformation.
Ange den begärda informationen senast den 29 februari 2012. Om du har några frågor angående denna begäran kan du kontakta Felipe Mendoza med energi- och handelskommitténs personal på telefon 202-226-3400.
Vänliga hälsningar,
Henry A. Waxman, Ranking Member
G.K. Butterfield, Ranking Member
Underkommitté för handel, tillverkning och handel
Apple har till 9 mars tills de svarar. Min gissning vid denna tidpunkt är att när iOS 5.1 rullar runt kommer Apple att kräva uttryckligt användartillstånd för att en app ska fånga adressbokdata. Det finns ingen anledning som inte redan borde vara fallet, och det orsakar bara för mycket dålig press för för många företag.