Apple belooft ‘gegevensbescherming als standaard’ voor zijn AirTags. Maar in de praktijk kunnen mensen en voertuigen wekenlang worden gevolgd, omdat de AirTag van Apple je niet direct waarschuwt voor ongewenste tracking en stalking. Het waarschuwingssignaal kan eenvoudig uitgeschakeld worden.
Mirko Dölle en Marco den Teuling
Het belangrijkste element in Apple’s AirTags dat mensen moet beschermen tegen ongewenste tracking door opdringerige bewonderaars, gewelddadige echtgenoten of extremistische politieke tegenstanders, is een eenvoudige luidspreker. De visuele waarschuwing voor ongewenste tracking, waar Apple mee adverteert, is namelijk alleen beschikbaar op iPhones. In Nederland en België heeft iPhone een marktaandeel van minder dan 40 procent. Het merendeel van de bevolking moet het dus hebben van een geluidssignaal waarmee de AirTag zichzelf prijsgeeft, maar dat hoor je op zijn vroegst pas na enkele uren of dagen. Bovendien kan het gemakkelijk permanent buiten werking worden gesteld, zoals we hebben ontdekt.
Update: dat Apples Airtag en bijbehorende infrastructuur makkelijk misbruikt kunnen worden heeft tot een rechtszaak geleid, twee Amerikaanse vrouwen hebben onlangs een ‘class action suit’ tegen Apple aangespannen.
Lokatie-baken
Lokalisatie-tags voor sleutelhangers of koffers zijn al langer verkrijgbaar van verschillende fabrikanten. Apple voegde echter UWB (Ultra Wide Band) naast het zoeken op korte afstand. Ook is NFC (Near Field Communication) geïntegreerd in de AirTags, zodat de eigenaar van een verloren AirTag een bericht kan sturen naar de vinder ervan. In grote lijnen is de werking van de tags van de verschillende fabrikanten vergelijkbaar. Ze werken als radiobakens en zenden via bluetooth met regelmatige tussenpozen een identificatiecode uit (‘beacon’) waarmee ze kunnen worden geïdentificeerd. Als een nabije smartphone dat signaal ontvangt, worden die gegevens met de huidige positie gecombineerd en doorgestuurd naar de fabrikant. De eigenaar kan met een speciale app de in de cloud opgeslagen locatiegegevens opvragen om zijn tag terug te vinden.
Dicht netwerk
Terwijl andere fabrikanten moeten hopen dat zoveel mogelijk smartphonebezitters hun app installeren, heeft Apple die functie rechtstreeks in iOS ingebouwd. Elk mobiel apparaat van Apple dat zelf vindbaar is via de ‘Vind mijn’-app, zal signalen van AirTags doorsturen naar Apple. Deze functie is standaard ingeschakeld op alle apparaten van Apple waar iOS 14.5 op draait. Zo beschikt Apple over een dicht netwerk van ongeveer een miljard apparaten wereldwijd om de locatie van AirTags te bepalen, terwijl andere fabrikanten zelfs in grote steden slechts een paar honderd actieve deelnemers hebben (meestal alleen gebruikers die een tag hebben van het betreffende merk).
Identificatie
Om te voorkomen dat AirTag-gebruikers door vreemden worden gevolgd, veranderen AirTags voortdurend hun individuele kenmerken, zoals het bluetooth MAC-adres, en versleutelen ze hun gegevens. Daardoor kan uiteindelijk alleen de eigenaar ze opsporen. Zelfs Apple weet niet welke AirTag van wie is. Alleen maakt dit het ook onmogelijk om de schuldige te identificeren in geval van misbruik.
Onzichtbaar
Dankzij het kleine formaat kunnen AirTags gemakkelijk worden verborgen in de voering van bijvoorbeeld een jas, een rugzak of een handtas, om mensen zo onopgemerkt te monitoren. Zolang de AirTag regelmatig in de buurt van de eigenaar verschijnt, bijvoorbeeld omdat ze in hetzelfde huishouden wonen of elkaar regelmatig tegenkomen op het werk, verschijnt er geen bericht op de iPhone van de gemonitorde persoon. De AirTag blijft zelf ook stil.
Pas wanneer de AirTag voor langere tijd van de eigenaar gescheiden blijft, wat op het moment van schrijven ten minste drie dagen was, slaat hij hoorbaar alarm.
Waarschuwing
Je moet niet te veel verwachten van de beloofde iPhone-waarschuwing als iemand je probeert te tracken. In een van onze tests duurde het meer dan 8 uur voordat onze iPhone ons een melding gaf over een vreemde AirTag. In verschillende andere gevallen kregen we zelfs na weken nog geen enkele waarschuwing. De AirTag blijft zo lang werken dankzij de batterijduur van circa een jaar.
Apple maakte ook na aanvraag niet bekend welke iPhones onder welke omstandigheden en na hoe lang een waarschuwing laten zien. Het is dus veilig om aan te nemen dat, naast Android-eigenaren, ook een heleboel iPhone-eigenaren geen waarschuwingen krijgen over vreemde AirTags.
Apple moet samenwerken met Google
Apple liet in een verklaring aan c’t weten dat het van plan is later dit jaar een Android-app beschikbaar te stellen waarmee AirTags en andere ‘Vind mijn’-compatibele apparaten kunnen worden gelokaliseerd die een andere persoon vergezellen die ver van de eigenaar verwijderd is. Dit zou in elk geval Android-gebruikers een kans geven om een AirTag vroegtijdig te ontdekken. Ook is het de bedoeling dat de AirTag in de toekomst na 8 tot 24 uur geluidssignalen geeft, in plaats van pas na drie dagen. Dat is een stap in de goede richting, maar het is niet genoeg. Er gaat dan nog steeds te veel tijd voorbij waarin de AirTag bijvoorbeeld ongemerkt mee naar huis zou kunnen worden genomen.
Om zijn privacybelofte effectief na te komen, heeft Apple steun nodig van Google: net als iOS zou Android automatisch, zonder een speciale app, moeten waarschuwen als er een onbekend tracking-apparaat in de buurt is. De twee fabrikanten werken al een jaar samen voor de Corona-contactmelders, die ook bluetooth gebruiken. Waarom niet ook samenwerken om in de toekomst alle Android- en iOS-gebruikers op de hoogte te brengen van onbekende trackers? Gegevensbescherming en privacy doen er op andere markten misschien niet toe, maar in Europa wel. Daar zijn het zelfs verkoopargumenten.
Audiosignaal tot zwijgen brengen
Een functie voor iOS of Android om actief te zoeken naar vreemde trackingapparaten is niet gepland. Je zult AirTags dus nog steeds pas kunnen ontdekken nadat je ze urenlang hebt meegedragen. Dit betekent dat de luidspreker van de AirTag vooralsnog het belangrijkste waarschuwingssignaal blijft om een vreemde AirTag op te merken. Maar juist die luidspreker kan gemakkelijk tot zwijgen worden gebracht.
Daarvoor heb je niet veel vaardigheid of speciaal gereedschap nodig. Met een boormachine is de in de AirTag ingebouwde luidsprekerspoel met een enkel boorgat op de juiste plaats in een paar minuten buiten werking te stellen. Geconfronteerd met de details, kwam Apple Duitsland in een officiële verklaring aan onze Duitse c’t-collega’s tot de conclusie dat ze ‘boren niet beschouwen als een zeer eenvoudige uitschakeloptie’. Maar het ontwerp van de AirTag vergemakkelijkt deze aanpassing. Als Apple de luidsprekeraansluitingen aan de achterkant van de printplaat had gesoldeerd, zou je onvermijdelijk de AirTag vernielen als je ze eruit zou boren.
Dader
Een stil gemaakte AirTag blijft zijn aanwezigheid melden aan Apple-apparaten in zijn omgeving, zodat hij op afstand vindbaar blijft. Apple heeft nagelaten om modificaties te detecteren en de AirTag bij detectie daarvan uit te schakelen. Een eenvoudige continuïteitscontrole of monitoring van het energieverbruik van de versterker zou al genoeg zijn om een onderbroken luidsprekerspoel onmiddellijk aan het licht brengen. Zonder zulke beschermende maatregelen staat de deur wijd open voor stalking – en de dader hoeft niet eens bang te zijn voor strafvervolging.
Conclusie
Met de AirTag heeft Apple een krachtige, hoogontwikkelde trackingtechnologie op de markt gebracht. De door de fabrikant beloofde standaard gegevensbescherming stelt in de praktijk echter weinig voor. De AirTag kan worden aangepast en misbruikt, door de luidspreker, de belangrijkste beschermende voorziening, lam te leggen. Apple heeft verzuimd voorzorgsmaatregelen te nemen die de AirTag deactiveren wanneer hij wordt gemanipuleerd.
Zelfs als de AirTag niet is aangepast, zullen de akoestische waarschuwing en de eventuele melding op het scherm van je iPhone pas na vele uren afgaan, wanneer je (nieuwe) verblijfplaats allang onthuld is. En wie een smartphone gebruikt van een andere fabrikant heeft nog minder kans om een ongewenste AirTag te detecteren. Ook als je toevallig een vreemde AirTag ontdekt, kun je niet veel meer doen dan hem vernietigen.
De AirTag kan een favoriet speeltje worden van politieke extremisten, om goedkoop en uiterst efficiënt na te gaan waar ’vijandige’ politici zich ophouden. Gewoon achter de bumper plakken, en je weet altijd waar je slachtoffer te vinden is. En ook al wordt de AirTag ontdekt door bijvoorbeeld de AIVD: tenzij degene die hem heeft geplaatst er vingerafdrukken op heeft achtergelaten, leidt geen enkel spoor naar de dader. Zelfs Apple weet niet wie de eigenaar is. Diens privacy is in elk geval wel beschermd.
In elk geval is duidelijk dat de AirTags kunnen worden misbruikt: wie bijvoorbeeld wegens huiselijk geweld de woning verlaat, moet er rekening mee houden dat hij of zij binnen enkele uren door de partner kan worden opgespoord – dankzij een AirTag die in een koffer, handtas of jas verstopt is.
Ik gebruik de Airtags om kostbare spullen te kunnen terugvinden als ze zouden worden gestolen. Daarvoor is het juist nodig dat het geluid kan worden uitgeschakeld, zodat de Airtag zich niet verraadt aan de dief of heler!
Ik had bedacht om hem in de jas van mijn moeder te doen vanwege alzheimer en weglopen. Maar ze heeft het ontdekt doordat er steeds een geluidje uit haar jas komt. Ik ben bang dat ik wat anders moet bedenken. Waar kun je vinden waar die luidspreker zit?
De luidspreker(spoel) is op de printplaat gesoldeerd en zie je in het midden duidelijk zitten (zie afbeelding). Daardoor is uitschakelen (te) makkelijk, zoals in de tekst aangegeven,
Is niet gesoldeerd kun je er zo uithalen