Daan's blog

Ik probeer tot nu toe zoveel mogelijk rekening met mijn privacy te houden bij het kiezen van de diensten die ik gebruik. Bij sommige diensten lukt het mij heel goed om ze volledig te negeren, zoals Facebook. Bij andere diensten lukt het niet, omdat deze diensten toch te essentieel zijn in mijn dagelijks leven, zoals de Google zoekmachine. Ik ben van Google Android naar Apple iOS overgestapt om minder vaak Google over mijn schouders heen te laten kijken. Daarnaast gebruik ik op mijn iPhone geen enkele app van Google en open ik YouTube in de browser, waar AdGuard overheen draait om third-party trackers en advertenties te blokkeren. Daarnaast kies ik op mijn laptop voor Firefox met enhanced tracking protection ingesteld op "strict" en de Facebook Container geïnstalleerd.

Toch schrok ik afgelopen donderdag best wel van de reden van de gebeurtenis van dit nieuwsbericht:
nieuws: Fout in Facebook-sdk liet iOS-apps waaronder Spotify en Tinder crashen

Hieruit bleek dus dat Spotify data naar Facebook verzendt via de "login met Facebook"-knop, ook al klikt de gebruiker niet op die knop. De SDK blijkt op Android data als het advertentie-ID te verzenden naar Facebook, alleen al door het aanwezig zijn van deze knop. Een link in de reactie van Tweaker "Cyb" maakt duidelijk dat hiermee Facebook dus aan de hand van een advertisement-ID weet welke applicaties ik als persoon gebruik:
https://privacyinternational.org/node/2498

Het schijnt dat de knop zonder gebruikt te worden op Spotify op iOS al data naar Facebook verzendt. Hierop heb ik Pi-hole binnen een Ubuntu LXC-container op de NAS geïnstalleerd en met een regex alle domeinen van Facebook in de blacklist gezet. Mijn vermoeden dat dit ook op iOS gebeurt, bleek dus inderdaad te kloppen. Iedere keer als ik Spotify open, wordt er een DNS-verzoek naar "graph.facebook.com" geblokkeerd.

Ik word hier om meerdere redenen best wel kwaad van. Ten eerste heb ik er bewust voor gekozen om buiten WhatsApp om helemaal niks te maken te willen hebben met het bedrijf Facebook. Ondanks die reden wordt wat ik doe dus alsnog naar Facebook verzonden, zonder dat ik hier ooit toestemming voor heb gegeven. Ten tweede betaal ik gewoon geld voor Spotify. Voor een gratis dienst vind ik het al erg slecht dat Facebook weet dat ik er gebruik van maak en er data over mij naar Facebook gaat, maar voor een dienst waar ik geld voor betaal vind ik het simpelweg onacceptabel. Ten derde herhaal ik nogmaals maar eens: waarom moet er data over mij en mijn apparaat naar Facebook verzonden worden, terwijl ik die knop niet eens gebruik?!

Al met al heb ik dus best veel bezwaren op de "login met Facebook"- knop. Ik ben dan ook van mening dat applicatieontwikkelaars deze knop niet in zouden moeten laden, als de gebruiker hem niet gebruikt. Wanneer dat niet mogelijk is, zouden applicatieontwikkelaars wat mij betreft moeten kiezen voor de privacy van de gebruiker en deze knop uit moeten bouwen.

Update 11 juli 2020:
Gisteren is het dus nogmaals gebeurd dat de Spotify-app crasht, doordat de Facebook SDK ingeladen wordt. Hierop heb ik contact opgenomen met Spotify en daarop een idee in de Spotify Community gepost dat het gedrag van het inladen van de Facebook SDK op iOS gelijk getrokken moet worden met hoe dat op Android wordt gedaan:
https://community.spotify...the-iOS-app/idi-p/4994755
Op Android wordt namelijk de Facebook SDK alleen ingeladen als de gebruiker op Facebook integratie of op de "login met Facebook" klikt.