Angry Birds en het einde van privacy

Асуудлыг Арилгахын Тулд Манай Хэрэгслийг Туршиж Үзээрэй

Schijnbaar eenvoudige mobiele games maakten het ons maar al te gemakkelijk om onze persoonlijke informatie weg te geven.

Het Highlight by Vox-logo

Angry Birds is zo 2009, zou je kunnen zeggen. Ik heb Angry Birds niet meer gespeeld sinds 2012, op zijn laatst, zou je kunnen aandringen. Het maakt niet uit. Angry Birds maakt nog steeds deel uit van je leven.

Als de eerste enorm succesvolle mobiele game, is het een avatar voor de manier waarop ons begrip van wat privé en wat persoonlijk is, in het afgelopen decennium is ingestort. Het is niet de enige mobiele game die intieme informatie heeft weggezogen, en het is niet de ergste dader, maar het was de eerste wereldwijde hit. Het was een Trojaans paard - het eerste kleurrijke, leuke, volkomen ongevaarlijke spel dat werd gedownload op een miljard telefoons, en het begin van een decennium van gratis apps downloaden zonder echt enig idee te hebben wat ze van ons kregen.

Uit een in januari gepubliceerde Pew-studie bleek dat 76 procent van de Amerikanen eigenlijk niets wist over het tracking- en targetingbeleid van Facebook, hoewel andere uit onderzoek blijkt dat de meeste mensen begrijpen dat ze het bedrijf niet moeten vertrouwen. (Onderzoekers aan de Georgetown University en NYU heb het onlangs genoemd een van de minst vertrouwde Amerikaanse instellingen, over alle politieke partijen heen.) Als de tactieken van zelfs de grootste, meest openbare en best gedocumenteerde schendt van onze privacy een zwarte doos zijn voor de gemiddelde persoon, wat weten de meesten van ons dan over de tactieken van bijvoorbeeld een Finse game-ontwikkelaar?

Hoewel het niet vaak voorkomt en verwarrend is om over na te denken, zit bijna elke app op je telefoon vol met reclame-tussenpersonen van derden - op zijn minst advertentiesoftware die eigendom is van Facebook of Twitter of Google, maar vaak een paar dozijn andere bedrijven waar je nog nooit van hebt gehoord. Dit omvat game-apps die even onschuldig als onaangenaam lijken als Angry Birds en zijn nakomelingen, zoals Fruit Ninja (van de in Australië gevestigde Halfbrick Studios) en Candy Crush (van de in Malta gevestigde ontwikkelaar King). Deze derde partijen verzamelen informatie waarmee ze een ingewikkelde geschiedenis van uw gedrag kunnen bijhouden en deze kunnen gebruiken om geld aan u te verdienen op manieren die u misschien niet verwacht of zelfs maar ziet.

Rovio en zijn collega's weten misschien niet eens precies wat ze over hun gebruikers verzamelen

De manier waarop mobiele games informatie over hun gebruikers verzamelen en de details van het soort informatie dat ze verzamelen, blijft ongelooflijk ondoorzichtig. Tot op zekere hoogte weten Rovio en zijn collega's misschien niet eens precies wat ze over hun gebruikers verzamelen of hoe de gegevens worden uitgebuit, dankzij de manier waarop software is geëvolueerd in het smartphonetijdperk. Mobiele games zitten vol met code van andere bedrijven, een efficiëntere manier om iets goedkoops, functioneels en schattigs te maken dan het helemaal opnieuw te bouwen.

Het feit dat het allemaal zo verwarrend is, is natuurlijk een beetje het punt. En als gevolg daarvan zijn mobiele games ontsnapt aan het niveau van controle dat we hebben toegepast op sociale-mediabedrijven, ondanks dat ze - als een categorie - bijna even populair en veel waarschijnlijker gebruikt door kinderen .

Toen het hele Cambridge Analytica-debacle plaatsvond, las ik daarover, en ik denk dat veel van mijn collega's en ik hetzelfde dachten: waarom zijn mensen zo van streek? David Nieborg, een game-onderzoeker en politiek econoom aan de Universiteit van Toronto, vertelt Vox. De game-industrie doet dit al heel lang, alleen met een ander doel: gewoon veel geld verdienen.

Zac Freeland/Vox

Rovio werd in 2003 opgericht door een groep studenten aan de Helsinki University of Technology in Finland en creëerde 51 mislukte apps voordat het Angry Birds creëerde, dat vlak voor Kerstmis in 2009 werd uitgebracht. Dat deel is geschiedenis. Iedereen begrepen ; iedereen speelde het. Het was een bron van enige zorg, meestal rond kinderen die in-app aankopen doen zonder medeweten van hun ouders (geholpen door de opzettelijke onwetendheid van Facebook), maar goedkope games waren zulke voor de hand liggende dingen om te downloaden toen je je eerste smartphone kreeg dat de meeste mensen het deden. Zolang ze er niet openlijk oplichterij uitzien, lijken ze ongevaarlijk.

In 2014 lekte Edward Snowden geheime documenten waarin veel van de manieren werden beschreven waarop de National Security Administration commerciële gegevensverzameling uitbuitte. Angry Birds werd genoemd als een van de lekkende apps die het gebruikte om toegang te krijgen tot privé-informatie. Maar het schandaal leek niet te blijven hangen.

Iets dat zo vaag en banaal klinkt als gameplay-gegevens is niet zo duidelijk wellustig als de soorten persoonlijke gegevensverzameling waarvan we weten dat we ons er schandalig over zouden moeten voelen. Niemand krijgt je burgerservicenummer van Angry Birds. Niemand krijgt je privéberichten.

Met Facebook plaats je veel duidelijker persoonlijke informatie, en met een game weet je niet echt wat het van je krijgt

Met Facebook zet je veel duidelijker persoonlijke informatie naar buiten, en met een game weet je niet echt wat het van je krijgt, zegt Chris Hazard, een ingenieur met ervaring in gaming en AI, momenteel de CTO van een opstart genaamd Diveplane. Het is niet zo vooraan en centraal. Kortom, het is niet vanzelfsprekend dat gegevens over hoe je een mobiel spel speelt net zo nuttig en zo persoonlijk kunnen zijn als je trouwfoto's of een rammelende dekvloer over het Democratisch Nationaal Comité.

Maar mensen moeten zich zorgen maken. De fijne kneepjes van gameplay-gegevens kunnen je veel vertellen over wat mensen drijft en wat er met hen aan de hand is - onderzoeken hebben aangetoond dat je games anders speelt als je depressief bent of een dieet volgt. Niemand maakt zich te veel zorgen over games, zegt Nieborg. Maar de onderliggende technologie is echt krachtig. Deze mensen duwen de technologie echt tot het uiterste waar het potentieel voor misbruik enorm is.

Ontwikkelaars verzamelen gegevens over wie er speelde, hoe lang, hoe goed en hoeveel geld ze uitgaven. Het lijkt geen gevoelige informatie, en het is vooral handig omdat het ontwikkelaars helpt om hun Facebook-advertenties te vinden meer mensen die goed geld zullen verdienen met deze spellen. Het is een kenmerk dat ze worden aangemoedigd om botweg te overwegen, afgeleid van ethische overwegingen of dat soort persoon op de markt zou moeten worden gebracht. Bijvoorbeeld, als de persoon die urenlang aan een spel besteedt waarbij je boosaardige tekenfilmvogels gooit, in feite een kind is, of iemand die worstelt met gokverslaving of impulscontrole, of anderszins kwetsbaar is. Facebook vindt Angry Birds een nieuwe gebruiker en int de cheque. Angry Birds vindt gebruikers die genoeg geld uitgeven om de kosten om gevonden te worden te compenseren. Het is overal een goede deal.

Aan de hand van puur hypothetische cijfers legt Nieborg uit: Misschien komt een ontwikkelaar van mobiele games op basis van de gegevens die ze hebben verzameld uit welk type persoon waarschijnlijk $ 150 per maand aan hun game besteedt. Ze brengen die informatie naar Facebook en betalen Facebook $ 100 om meer mensen te vinden die op die persoon lijken. Het klinkt als veel geld voor één gebruiker, maar het is een redelijk veilige investering, en het wordt veiliger naarmate je mensen beter begrijpt.

Er is een enorme stimulans om veel over je spelers te weten, zegt hij, en de donkere wending is dat als je dit voor een gamesbedrijf kunt doen en je bent er echt goed in, je [dan] kunt gaan werken voor andere bedrijven die minder triviale doelen hebben dan alleen het verkopen van digitale edelstenen aan mensen.


De gemiddelde gratis game heeft volgens Nieborg minstens één, en soms wel 10 reclame-intermediairs ingebouwd in de game, die elke beweging die je maakt en elke extra aankoop die je overweegt bijhoudt. Als je geïnteresseerd bent in de gegevensvraag, [Rovio is] niet mijn grootste angst. Waar ik veel banger voor zou zijn, zijn de honderden reclamebemiddelaars die zich in elk land kunnen bevinden.

Dus wat doen deze externe adverteerders dat zo slecht is? Een onderzoek vorig jaar uitgevoerd door beveiligingsonderzoekers van UC Berkeley geeft ons enig inzicht.

Het onderzoek richtte zich op de privacy van kinderen en opnieuw instelbare advertentie-ID's - de reeks cijfers en letters die u identificeert en een logboek bijhoudt van uw klikken, zoekopdrachten, aankopen en soms geografische locatie terwijl u door verschillende apps bladert - in tegenstelling tot niet-resetbare, persistente identifiers. Telefoonbeveiligingsexperts raden aan om deze regelmatig opnieuw in te stellen om het vermogen van adverteerders om u te volgen te beperken. (Je kunt dat doen in het gedeelte Advertenties onder aan de privacy-instellingen op een iPhone, of in het menu Advertenties in het gedeelte Services van de instellingen van een Android-apparaat.)

De studie vond iets alarmerends: van de 3.454 kinder-apps die opnieuw instelbare advertentie-ID's delen, deelde 66 procent ook persistente identifiers. U kunt de advertentie-ID elke 20 minuten opnieuw instellen op het apparaat dat uw kind gebruikt, als u dat wilt, maar het zou niets doen om hun geschiedenis te wissen. De enige manier om reset die apparaat-ID door de telefoon of tablet in de fabriek te resetten en helemaal opnieuw te beginnen. Wat nog belangrijker is, is dat uit het onderzoek bleek dat 19 procent van de apps voor kinderen advertentietargetingsoftware bevatte met servicevoorwaarden die zo roofzuchtig zijn dat ze niet eens legaal mogen worden opgenomen in apps die zijn ontworpen voor kinderen. Kinderen onder de 13 mogen helemaal niet worden gevolgd tussen apps, vooral niet voor reclamedoeleinden, en vooral als onderdeel van een permanente geschiedenis van hun digitale leven.

Adverteerders zouden beweren dat al deze informatie anoniem is, maar een recente New York Times-onderzoek ontdekte dat het schrikbarend eenvoudig is om te de-anonimiseren en dat honderden apps anonieme realtime locatiegegevens verzamelen die alleen de kleinste aanvullende contextaanwijzingen nodig hebben om aan een individuele persoon te koppelen. (De telefoon gaat bijvoorbeeld elke dag van en naar dit huis en dit advocatenkantoor, of dit huis en dit klaslokaal van de vierde klas. De NYT-verslaggevers vonden zelfs de president met behulp van kaarten die ze hadden gehaald twee gegevensmakelaars .)

Zac Freeland/Vox

Joel Reardon, een veiligheidsonderzoeker aan de Universiteit van Calgary, legt me het probleem uit. Er zijn horrorverhalen, zegt hij, en noemt een paar openlijk uitbuitende app-makers en flagrante mazen in de beveiliging. Rovio is niet zo. Het is gemiddeld. Daarom is het zo interessant.

Rovio heeft, zoals eigenlijk alle mobiele games en de meeste apps, zijn code gebouwd met een lappendeken van dingen die al bestonden. Het gebruikt het advertentieplatform Vungle om advertenties weer te geven, dus de code van Vungle (of softwareontwikkelingskit) wordt in het spel geschreven en begint te lopen zodra je het opent. Het heeft Unity, een game-engine, nodig om het spel te laten draaien. Het heeft Twitter, Facebook, enzovoort nodig. Geen van deze dingen is inherent slecht, maar geen van deze bedrijven laat Rovio naar hun code kijken - ze geven het alleen een binaire beslissing om het wel of niet op te nemen, om wel of niet opt-in. Een beetje zoals de keuze die je zult maken later over het al dan niet downloaden van het spel, behalve dat Rovio staat om een ​​hoop geld te verdienen en jij niet.

Rovio heeft deals met 43 gegevensbeheerders en verwerkers, waaronder 14 reclametussenpersonen

Rovio's privacybeleid geeft een overzicht van alle plaatsen waar het gegevens naartoe stuurt . Het bedrijf heeft deals met 43 verwerkingsverantwoordelijken en verwerkers, waaronder 14 reclametussenpersonen. Drie van hen werden geïdentificeerd in de Berkeley-studie aangezien het zeer waarschijnlijk in strijd is met de Children’s Online Privacy Protection Act (COPPA), en zijn momenteel aangeklaagd worden door New Mexico procureur-generaal Hector Balderas: Twitter en zijn advertentieplatform MoPub, Google en zijn advertentieplatform AdMob, en verschillende andere bedrijven, waaronder ironSource, een groot adwarebedrijf gevestigd in Israël.

Als ontwikkelaar bent u mogelijk verplicht om de Servicevoorwaarden van deze externe softwareleveranciers door te lezen en te kijken of ze compatibel zijn met uw Servicevoorwaarden, zegt Reardon. Je absorbeert ze in feite allemaal, en die samensmelting is in feite de echte servicevoorwaarden waarmee de gebruiker wordt geconfronteerd. Maar dat doet niemand.

In februari een vervolgonderzoek bij UC Berkeley gevonden ongeveer 17.000 Android-apps die niet alleen advertentie-ID's verzamelden, maar allerlei soorten permanente apparaat-ID's, die niet kunnen worden gereset. Ze kunnen worden gecombineerd om activiteitengeschiedenissen te creëren die intiemer en nauwkeuriger zijn dan uw eigen geheugen, en om adverteerders te vertellen hoe u in duizenden mogelijke situaties handelt. Ze zijn veel onwrikbaarder dan de cookies die je via een webbrowser volgen, en om die reden worden ze vaak vingerafdruktechnologieën genoemd. Dit type tracking is niet toegestaan ​​in de Google Play Store (of de App Store), maar Google heeft niet veel prikkels of zelfs de mogelijkheid om dat beleid af te dwingen. Google vertelde CNET dat het alleen echt kan weten welke soorten informatie naar zijn eigen advertentieplatform worden verzonden.

Angry Birds was volgens het onderzoek een van de apps die deze permanente ID's verzond. Het bedrijf weigerde rechtstreeks commentaar te geven op het rapport en zei alleen dat Rovio veel tijd en moeite heeft gestoken in het creëren van zijn eigen interne technologieteam dat constant de code die Rovio distribueert beoordeelt, en we streven ernaar onze partners zorgvuldig te onderzoeken.

Een woordvoerder van Rovio vertelt Vox dat Rovio-games alleen de opnieuw instelbare advertentie-ID's van Apple en Google gebruiken en geen softwareontwikkelingskits voor adverteerders van derden bevatten, maar de recente studie van Berkeley zei anders. Ik vraag Reardon om het nog eens te controleren en hij bladert door de broncode van de nieuwste versie van de Angry Birds-vlaggenschip-app. Net als voorheen vindt hij verschillende softwareontwikkelingskits van derden, waaronder die voor Facebook en Vungle.

Als ik Rovio opnieuw vraag, herziet een woordvoerder. Het bedrijf heeft er altijd de voorkeur aan gegeven om transparantere server-naar-server-verbindingen te gebruiken in plaats van softwareontwikkelingskits van derden rechtstreeks in hun games op te nemen, maar dat is geen optie die altijd beschikbaar of mogelijk is.

Als u vragen zou stellen over welke gegevens door een mobiel spel werden verzameld en hoe, zou u doorgaans niet de mogelijkheid hebben - zoals ik deed - om een ​​beveiligingsonderzoeker te e-mailen en hem in een oogwenk in de code te laten rondneuzen. . Je zou het gewoon niet weten. Dit is het punt!

Google wordt gestimuleerd om de Play Store voor Android-apps tot op zekere hoogte te reguleren, maar aangezien het in de advertentiebusiness zelf zit, is daar een limiet aan. En het is sterk afhankelijk van externe beveiligingsonderzoekers om onsmakelijk gedrag te ontdekken en te rapporteren. Apple promoot privacy al jaren als een van de kenmerkende kenmerken van de iPhone - en vooral agressief in de afgelopen paar maanden, voorafgaand aan de lancering van de eerste Apple-creditcard — maar er wordt niet te veel gesproken over het feit dat de vermindering van in-app-aankopen in games als deze een flinke brok van zijn inkomsten.

Zac Freeland/Vox

De manier waarop al deze games eruitzien - alsof ze voor een kind prima zouden moeten zijn om te spelen - voegt een nieuwe laag toe aan het probleem.

COPPA, aangenomen in 1998, beschermt kinderen onder de 13 jaar tegen het volgen door adverteerders, en maakt het expliciet illegaal om enige vorm van persistent identifier op een kind toe te passen. Kinderen kunnen niet worden gevolgd op sites of in apps, hun apparaat-ID's kunnen niet worden opgeslagen en er kan geen persoonlijke identificatie-informatie van welke aard dan ook worden verzameld zonder uitdrukkelijke toestemming van de ouders.

Maar de Federal Trade Commission heeft COPPA niet met enige vorm van uniformiteit afgedwongen. Het heeft boetes opgelegd aan een handvol bedrijven, maar het is ook ingegaan op het argument van Google dat kinderen YouTube niet gebruiken. Een woordvoerder weigerde commentaar te geven op de vraag of het bureau gelooft dat COPPA van toepassing is op Rovio.

Rovio's huidige privacybeleid houdt vol dat het de leeftijd van zijn spelers niet kent, tenzij ze een spel openen via een Facebook-account, wat min of meer betekent dat ze door de kieren kunnen glippen. De games zijn voor alle leeftijden, zelfs als het film-, tv- en lifestyle-merkimperium voor 4-jarigen is, en als het volgens de wet niet weet dat de gebruikers jonger zijn dan 13 jaar , hoeft het zijn beleid voor gegevensverzameling niet rond die gebruikers te bouwen.

De FTC is zo laks geweest bij het handhaven van COPPA, dat het de wet effectief heeft ontkracht door een gebrek aan handhaving.

Voordat het bedrijf in 2017 naar de beurs van Helsinki ging, was het bedrijf een circulaire uitgebracht die enige intentie uitdrukte om zich aan COPPA te houden, maar niet specifiek was over welke van de tientallen spellen het als onderworpen aan de wet beschouwde. Rovio werd in maart benaderd voor commentaar en weigerde opnieuw een duidelijke lijst te geven van de games die volgens de COPPA-wetgeving onder de COPPA vallen, en een woordvoerder vertelde Vox in een e-mail dat Rovio erkent dat bepaalde van zijn oudere en eenvoudigere games (bijv. Angry Birds-ruimte , Slechte zwijntjes en Boze vogels gaan! ) kan aantrekkelijker zijn voor kinderen en kan als zodanig onderhevig zijn aan COPPA. Opnieuw gevraagd om specifieker te zijn, antwoordde een woordvoerder: Zoals vermeld in de vorige reactie, analyseert Rovio zorgvuldig zijn gameportfolio in termen van of de games onderhevig zijn aan COPPA of niet.

De FTC is zo laks geweest bij het handhaven van COPPA, dat het de wet effectief heeft ontkracht door een gebrek aan handhaving, vertelt Josh Golin, uitvoerend directeur van de Campagne voor een reclamevrije jeugd. Angry Birds deelt in die erfenis, zegt hij, door aan de rest van de industrie te signaleren dat je weg kunt komen met het omzeilen van de wet.


Er is enig optimisme over de toekomst van online privacy - vooral als je denkt dat de FTC zware boetes zal gaan opleggen aan 's werelds grootste technologiebedrijven, niet alleen individuele apps die zijn aandacht trekken, en dat we allemaal kunnen worden gemaakt om te begrijpen wat er is geweest gaande in dit snoepkleurige decennium van gratis te spelen tijdverspillers. In maart, Sens. Ed Markey (D-MA) en Josh Hawley (R-MO) kondigde een plan aan voor een tweeledige maatregel om de bescherming van COPPA uit te breiden. Het zou de leeftijd van de privacybescherming van de wet verhogen tot 15 jaar en een wisknop creëren waarmee een ouder alle gegevens van een kind van een bepaalde service kan verwijderen. Het zou ook, cruciaal, een nieuwe divisie creëren binnen de FTC die gericht is op de privacy van jongeren.

Aan de andere kant is het doel van COPPA om te voorkomen dat kinderen voor hun tijd handelswaar worden. Het wordt vrijwel geaccepteerd dat wanneer ze opgroeien, ze de muziek onder ogen moeten zien en gevolgd moeten worden zoals de rest van ons - of dat nu op 13- of 15-jarige leeftijd is - in een systeem dat het meest winstgevend is wanneer het het meest invasief en gereguleerd is bijna alleen door andere gigantische technologiebedrijven, en alleen als het hun eigen belangen beschermt.

Niemand van ons heeft om uw gegevens gevraagd. Maar we hebben het hoe dan ook, en voor altijd.

Zelfs game-ontwikkelaars die zich ethisch willen gedragen, kunnen moeite hebben om dit te doen in een ecosysteem dat zo rigide is gevormd door de manier waarop Facebook dingen doet. Afgelopen maart heeft game-ontwikkelaar Ian Bogost schreef mijn fout in de Atlantic over Cow Clicker, een spel dat hij in 2010 in drie dagen op een hok in Greenpoint maakte. Hij realiseerde zich aanvankelijk niet dat het hele Facebook-profielen uithaalde van iedereen die het speelde, en sloot het zelf af toen hij het ontdekte was, maar hij zegt dat hij niet eens wist wat hij moest doen met alle gegevens die hij had.

Honderdduizenden makers van dom speelgoed, quizzen, games en gemeenschappen die misschien nooit de bedoeling hadden gehad om gebruikers te bedriegen of te schenden, hebben dat toch zeker gedaan, omdat Facebook hun gegevens ons door de strot ramde, schreef hij. Over het algemeen heeft niemand van ons om uw gegevens gevraagd. Maar we hebben het hoe dan ook, en voor altijd.

Het origineel Kwade vogels - de eerste van bijna twee dozijn games die Rovio heeft gemaakt met de Angry Birds-personages - werd in mei 2012 voor de miljardste keer gedownload, vijf maanden voor Facebook zou slaan een miljard actieve gebruikers. De mobiele game-industrie is nu de moeite waard tientallen miljarden dollars per jaar, en Rovio alleen al bracht vorig jaar $ 297 miljoen op ($ 248 miljoen uit games, het grootste deel uit merklicenties.)

Maar in februari 2018, de waardering van Rovio gedaald tot $ 500 miljoen , de helft van zijn waarde toen het naar de beurs ging. De ironie van de geschiedenis is dat Angry Birds het free-to-play-model nooit volledig onder de knie heeft gehad, zegt Nieborg. Wat ze zo goed deden, is dat ze geld verdienden aan hun intellectuele eigendom; het merk Angry Birds is zo iconisch en slim en vertaalt zich wereldwijd. Een ding dat ze heel goed deden, was ouderwets intellectueel eigendom van de media-industrie, net als Disney. Mensen houden gewoon van die gekke vogels.

Dit jaar, Rovio plannen om ongeveer 30 procent van zijn inkomsten uit games te besteden aan het verleiden van nieuwe gebruikers, net als vorig jaar. Dat brengt, als het niet voor de hand ligt, veel data met zich mee.

Het bedrijfsmodel dat de mobiele game-industrie, digitale advertenties en de meeste grote sociale-mediaplatforms in stand houdt, is hardnekkig en hongerig, zeer goed in het vasthouden van de informatie die je het hebt gegeven en nog beter in het vinden van manieren om die informatie te verrijken en te behouden het is vers, zelfs nadat je bent overgestapt op een andere app. Met andere woorden, je bent misschien over de fase van je leven waarin Angry Birds betrokken was, maar Angry Birds is nog niet over jou heen.