Weblogs bestaan deze week alweer 22 jaar!

12 miljoen telefoons, 1 dataset, 0 privacy

Stuart A. Thompson en Charlie Warzel beschrijven in Twelve Million Phones, One Dataset, Zero Privacy hoe allerlei (gratis) apps continu jouw locatie bijhouden:

Every minute of every day, everywhere on the planet, dozens of companies — largely unregulated, little scrutinized — are logging the movements of tens of millions of people with mobile phones and storing the information in gigantic data files.

Het bijhouden van de locatie van smartphones via apps is gewoon legaal. Er zijn niet of nauwelijks regels die dat beperken. En de bedrijven die locatiegegevens bijhouden vinden dat ook geen probleem: gebruikers hebben er toestemming voor gegeven, de data is ‘anoniem’ en wordt veilig opgeslagen. Zeggen ze. Maar:

In most cases, ascertaining a home location and an office location was enough to identify a person. Consider your daily commute: Would any other smartphone travel directly between your house and your office every day?

Het kan dus iedere ‘gewone’ burger raken. Maar in het tweede deel van de serie identificeerde de NY Times simpel een lid van de geheime dienst die de president van de V.S. bewaakt.

The vulnerability of the person we tracked in Mr. Trump’s entourage is one that many if not all of us share: the apps (weather services, maps, perhaps even something as mundane as a coupon saver) collecting and sharing his location on his phone.

Dat is schering en inslag. Technologieverslaggever Nic Nguyen van Buzzfeed schreef vorig jaar al over hoe marketingbedrijven de ontwikkelaars van apps proberen te overtuigen om locatiegegevens van gebruikers met hen te delen:

When you consent to sharing your data with many popular apps, you’re also allowing app developers to collect your data and sell it to third parties through trackers that supply advertisers with detailed information about where you live, work, and shop.
In November 2017, Yale Privacy Lab detected trackers in over 75% of the 300 Android apps it analyzed. A March 2018 study of 160,000 free Android apps found that more than 55% of trackers tried to extract user location, while 30% accessed the device’s contact list. And a 2015 analysis of 110 popular free mobile apps revealed that 47% of iOS apps shared geo-coordinates and other location data with third parties, and personally identifiable information, like names of users (provided by 18% of iOS apps), was also provided.

Kijk dus gelijk even de instellingen op je telefoon na. Zo doe je dat. Maar zelfs als je een app geen toegang geeft tot je locatie kunnen ze die op een indirecte manier achterhalen:

Even restricting location access on an app won’t necessarily prevent it from revealing your location. Abbas Razaghpanah, a researcher at Stony Brook University, found 581 Android apps, including dozens geared toward preschool-age children made by a developer called BabyBus, shared Wi-Fi access point names and MAC addresses (a unique identifier assigned to all network devices, like your router), which can be cross-referenced with a public database to pinpoint your location.

Het blijft wachten op regelgeving die consumenten op dit vlak enigszins gaat beschermen.

Links zijn de essentie van het web

Anil Dash schreef over de waarde van links op het web, “Link In Bio” is a slow knife:

We don’t even notice it anymore — “link in bio”. It’s a pithy phrase, usually found on Instagram, which directs an audience to be aware that a pertinent web link can be found on that user’s profile. Its presence is so subtle, and so pervasive, that we barely even noticed it was an attempt to kill the web.

Zonder links om tussen websites en individuele webpagina’s te navigeren was er geen www geweest. Maar de grote sociale netwerken werken linkgebruik expliciet tegen. Dat is een bewuste strategie waarmee ze:

  • Gebruikers binnen hun netwerk houden, zodat ze meer advertenties bekijken.
  • Voorkomen dat merken en influencers geld kunnen verdienen via links naar eigen websites en webwinkels. Dan moeten ze de opties die het netwerk biedt gebruiken, tegen betaling natuurlijk.

Heel jammer, want:

The web is where we can make sites that don’t abuse data in the ways that Facebook properties do.
Links take us to places where we can make choices that Instagram never would.

AULA

IMG_0720.jpeg

Nudging en het belang van frictie

In de NY Times maakte Tim Wu een uitgebreid punt over gemak:

Convenience is the most underestimated and least understood force in the world today.

Gemak heeft effect. Want hoe makkelijker iets wordt gemaakt, hoe eerder je het doet. Van onderweg even snel een snackje eten (overgewicht) tot met één klik nieuwe spullen bestellen. Hele multinationals zijn erop gebouwd:

(..) our taste for convenience begets more convenience, through a combination of the economics of scale and the power of habit. The easier it is to use Amazon, the more powerful Amazon becomes — and thus the easier it becomes to use Amazon. Convenience and monopoly seem to be natural bedfellows.

Of Coolblue, of Bol.com. Ben Thompson noemt bedrijven die slim weten gebruik te maken van de ‘vicieuze’ cirkel van gemak en schaalvoordeel ‘Aggregators’.

Maar:

What happens to human experience when so many obstacles and impediments and requirements and preparations have been removed?

Dat is ook een vraag die gedragswetenschappers en beleidsmakers al sinds 2008 razend interessant vinden. Want als wij burgers aangezet kunnen worden tot gewenst gedrag, met ‘nudges’, zou dat kunnen bijdragen aan een gezondere bevolking die milieubewust gebruik maakt van water, gas en elektriciteit. Of die gewoon niet naast de pot pist, dankzij die plakvliegjes in urinoirs.

Nudges geen duurzame oplossing

Reint Jan Renes legt uit dat nudges niet zaligmakend zijn:

1. Nudges werken alleen daar waar ze aanwezig zijn. Het effect van een nudge in de ene situatie wordt niet overgedragen naar een andere ‘nudge-loze’ situatie. Dankzij een vlieg in een toiletpot richten mannen beter met als resultaat een schonere omgeving. Echter, daar waar de vlieg ontbreekt, vallen mannen weer terug in hun oude, smerige gedrag. Om effectief te kunnen zijn, in meerdere situaties en voor langere tijd, moeten nudges overal aangebracht worden waar ze relevant kunnen zijn. 2. Nudges maken mensen lui en inactief. Nudges zetten mensen aan tot actie zonder dat ze er zelf bewust voor kiezen of er iets voor hebben hoeven doen, waardoor de betrokkenheid bij het gedrag en de waarde ervan relatief laag is. Voor effectiviteit van veel gedragingen is ‘eigenaarschap’ een belangrijke factor. Wanneer iemand donor is alleen omdat hij/zij te lui is zich uit te schrijven, is de kans groot dat bij overlijden er alsnog veel discussie ontstaat over het donorschap van de overledene, met als gevolg dat er vaak geen organen afgestaan worden. 3. Nudges zijn zendergericht. Een nudge is een ‘one-size-fits-all’ aanpak. Er vindt geen afstemming met de ontvanger plaats en de te verwachten actie is voor iedere persoon gelijk. In het geval van de vlieg in de toiletpot, wordt ervan uitgegaan dat iedere man zich aangesproken voelt door een vlieg en is de enige mogelijke actie ‘beter richten’.

Micro-fricties

Wat werkt dat wel? Micromomenten van frictie:

Voor duurzame verandering is het nodig dat mensen in verschillende contexten en door de tijd heen standvastig zijn. Daarom, zo stellen de onderzoekers, moet beïnvloeding zich niet alleen richten op het faciliteren van automatische keuzes, maar ook op het proces waarbij mensen via zorgvuldig nadenken tot een keuze komen.

Deze ‘micro’ momenten van frictie moeten mensen stimuleren om bewust andere keuzes te overwegen. Dit worden ‘rational override’ interventies genoemd. Een voorbeeld daarvan is het piepje van de autogordel dat je hoort wanneer je wil wegrijden zonder dat je de gordel hebt omgedaan.

Na dit herlezen te hebben wil ik meteen nadenken over waar we doelbewust micro-fricties kunnen inbouwen in producten. :)

Grey skies

IMG_0619.jpeg

Jongerius

IMG_0609.jpeg

Ton schreef vorige week over wat belangrijk is bij datagestuurde besluitvorming:

To begin with, indicators easily become their own goals, and people will start gaming the measurement system to attain the set targets. (Think of call centers picking up the phone and then disconnecting, because they are scored on the number of calls answered within 3 rings, but the length of calls isn’t checked for those picked up)

Measurement also isn’t neutral. It’s an expression of values, regardless of whether you articulated your values. When you measure the number of traffic deaths for instance as an indicator for road safety, but not wounded or accidents as such, nor their location, you’ll end up minimising traffic deaths but not maximising road safety. Because the absence of deaths isn’t the presence of road safety. Deaths is just one, albeit the most irreparable one, expression of the consequences of unsafety. Different measurements lead to different real life actions and outcomes.

Tegenwoordig kun je bijna alles makkelijk meten. Maar hoe je het meet, en wat je daarmee mist of mogelijk onderwaardeert, bepaalt de daadwerkelijke waarde.

This morning I created a simple iOS shortcut that resizes a photo from your camera roll and sends it to your WordPress blog as a photo post. Please (re)use if you’re interested in simple iOS photo microblogging. :)

Structuur

IMG_0582.jpeg

Resize Image-shortcut voor iOS

Update: Versie 2 van de shortcut is nu beschikbaar. Daarmee stuur je de verkleinde foto direct naar je WordPress blog.

Afgelopen maand heb ik elke dag iets op dit blog geplaatst. Om dat nog iets makkelijker te maken probeer ik mijn mobiele publiceer-workflow ook te versimpelen. Een eerste stap is mijn iOS Shortcut voor het verkleinen van foto’s.

Foto’s van smartphones zijn al jaren ‘goed genoeg’. Om te delen op Instagram, Pixelfed of Flickr. Of op je eigen site. Maar doordat smartphonecamera-sensoren steeds beter zijn geworden, zijn de foto’s ook steeds groter. Die wil je verkleinen voordat je ze online deelt. Maar iOS biedt geen ingebouwde functionaliteit voor het verkleinen van afbeeldingen.

Met Shortcuts kun je dat zelf bouwen. Dat ziet er dan zo uit:

Resize image ios shortcut
  • Eerste stap is dat je een foto deelt vanuit bijvoorbeeld de iOS Foto's app (Shortcut Input).
  • Als verificatie telt de shortcut of er wel een afbeelding is ontvangen ('If Count is not 0').
  • Wanneer dat klopt wordt de gedeelde foto aan de SelectedPhoto variabele toegevoegd.
  • Kan de shortcut geen foto vinden, dan opent een iOS foto-selectiescherm en kun je zelf een foto kiezen.
  • Van die foto worden de hoogte en breedte opgehaald en in variabelen opgeslagen.
  • Vervolgens bekijkt het script of de foto breder (landschapsformaat) of hoger (portretformaat) is.
  • Op basis daarvan wordt of de breedte of de hoogte van de foto aangepast naar 1024px, met behoudt van dimensies.
  • De verkleinde foto wordt in een album opgeslagen.
  • En als dat allemaal gelukt is trilt je iPhone even.

Probeer het gerust zelf eens. De Resize Image-shortcut kun je hier downloaden.

Linklijst: 5x digitale vrijheid

‘Het internet is stuk’ is de titel van het boek van internetpionier Marleen Stikker. NRC interviewde haar:

Er is een ander internet mogelijk. Met die boodschap in het hoofd begon internetpionier Marleen Stikker vorig jaar haar eerste boek te schrijven. Want het lijkt soms alsof er geen alternatief is voor wat wij nu aantreffen als we online gaan. Alsof het inherent is aan internet dat gebruikers moeten betalen voor gratis diensten met hun privacy, alsof de privacyschandalen, het nepnieuws, de monopolies, de oplichters, de fraude, de polarisering en de manipulerende algoritmes nu eenmaal onherroepelijk bij internet horen.

Één van die manieren waarop wij betalen is via onze smart-tv’s. The Washington Post onderzocht hoe:

Ever wondered why TV sets are getting so cheap? Manufacturing efficiency plays a role. But to paraphrase political commentator James Carville, it’s the data, stupid. TVs have joined the ranks of websites, apps and credit cardsin the lucrative business of harvesting and sharing your information. Americans spend an average of 3½ hours in front of a TV each day, according to eMarketer, the market research company. Your TV records may not contain sensitive search queries or financial data, but that history is a window to your interests, personality, joys and embarrassments.

Interessante ontwikkeling is dat er meer besef lijkt te ontstaan van de mogelijk negatieve effecten van technologieën. Zoals gezichtsherkenning. In het opiniestuk ‘Gezichtsherkenning is snel aan het ontsporen’ wordt expliciet om duidelijke kaders vanuit de overheid gevraagd:

Hoe verdere wildgroei en ontsporing van gezichtsherkenning te voorkomen? Het plan dat D66 vorige week presenteerde om gezichtsherkenning door overheden grotendeels te stoppen totdat er een maatschappelijke en politieke discussie over is geweest, klinkt verstandig. Dat debat is nu namelijk nog te weinig gevoerd.

Maar discussiëren is niet genoeg. Er zou snel meer duidelijkheid moeten komen over onder welke voorwaarden bedrijven en overheden gezichten mogen herkennen en welke data ze mogen verzamelen, zoals CDA en D66 deze week in een aangenomen motie voorstelden.

Maar aangezien die regelgeving er nog lang niet is, moet je vooral als individu je eigen digitale privacy en veiligheid bewaken. Bijvoorbeeld met de producten en diensten uit TechCrunch’s Gift Guide: Essential security and privacy gifts to help protect your friends and family. (Zie ook Laat je niet Hack maken.nl)

En als je dat voor elkaar hebt kun je nog even verder dromen over een eerlijker internet.

Taal & internet volgens Gretchen McCulloch

Tijdens het forenzen zet ik vaak een podcast op. Vanochtend was dat Ezra Klein, die Gretchen McCulloch interviewde over internet en taal:

[She] is a self-described “internet linguist,” host of the podcast Lingthusiasm, and author of the recent book Because Internet: Understanding the New Rules of Language. In it, she demonstrates that the way we’ve come to speak on the internet — from emojis to exclamation points — is not random or arbitrary, but part of a broader attempt to make our written communication more vibrant, meaningful, and, genuinely human. Far from “ruining” the written English language, internet-speak, McCulloch argues, is revolutionizing language in unprecedented, and ultimately positive, ways.

In de aflevering vertelt Gretchen over het ‘founding population’-concept. Dit is overgewaaid uit de ecologie, en houdt in dat de eerste leden van een groep de grootste invloed hebben op hoe de groep zich ontwikkelt. Inclusief de normen rondom het taalgebruik.

Uit onderzoek blijkt dat nieuwe leden die toetreden tot een bestaande groep, in de eerste fase het meest ‘vatbaar’ zijn voor nieuwe woorden en uitdrukkingen van de groep. Die eerste fase duurt ongeveer ⅓de van de totale deelname van een gebruiker aan de groep. En op basis van het feit of gebruikers nog openstonden voor nieuwe woorden konden onderzoekers voorspellen hoe lang die gebruiker lid zouden blijven van de community. Boeiend!

Heb je een digitaal testament nodig?

Als je het digitaal goed voor elkaar hebt:

  • gebruik je een password manager;
  • met waar mogelijk tweefactorauthenticatie geactiveerd; en
  • heb je je back-ups op orde.

Maar heb je ook nagedacht over wat er met online accounts en websites moet gebeuren als jou iets overkomt?

Op Twitter haalde Stacy-Marie Ishmael het al aan:

I have been Extremely Online for more than 2/3rds of my life which is why I: - have a living will that specifies what to do with all my digital accounts and domains (nuke them, nuke them all) - have a mechanism for those passwords to be shared with the folks who can do the nuking

En bijna tegelijkertijd kreeg ik een gesponsorde tweet van Veiliginternetten.nl (een publiek-private samenwerking) over digitale nalatenschap voor mijn neus:

Tweet over digitale nalatenschap

Toeval…? Natuurlijk. Toch is het goed om hierover na te denken. Rick Klau deed dat ook, en hij zette op een rij wat je minimaal moet doen:

  1. Verzamel al je inlognamen en wachtwoorden op een centrale plek (password manager kuch).
  2. Geef iemand toegang tot die gegevens. (In LastPass en Dashlane kun je een emergency contact toevoegen, 1Password biedt nog niet zoiets)
  3. Genereer tweefactorauthenticatie backup codes. Die kun je ook opslaan in je password manager.
  4. Verifieer dat bovenstaande drie stappen ook echt werken.

Begin met stap 1 en 2. En duik dan stap voor stap in de verdere mogelijkheden.

Op zee

[gallery link=“file” columns=“2” size=“full” ids=“827,828,829”]

Elmine gaat podcasten, vanuit een hele duidelijke motivatie:

Ineens viel me op hoe de prestaties van de mannenschaatsers op de olympische spelen langer en prominenter op de voorpagina van nieuwssites stonden dan de prestaties van de dames. Ik las dat het aandeel van vrouwen in de media stagneert, en dat de expert in het nieuws bijna altijd een man is. En als kers op de taart kwam ik erachter dat ik mezelf gelukkig mag prijzen als een arts het op tijd herkent wanneer ik een hartaanval krijg, omdat de symptomen bij een vrouw helemaal niet lijken op het klassieke mannelijk beeld van een hartaanval.

Als tiener, twintiger en dertiger ben er ik altijd van uitgegaan dat ik een gelijkwaardige uitgangspositie had ten opzichte van mannen. De generatie van mijn moeder, en de vrouwen na haar hadden alles wel bevochten, dacht ik. En ik plukte daar toch al de vruchten van? Deels is dat ook waar.

Maar de kloof wordt niet gedicht, en is op sommige vlakken zelfs groter geworden.

Nu ik als veertiger de systematische achterstelling van de vrouw niet meer kan ontzien, voel ik me verplicht bij te dragen aan het verbeteren van het systeem. Maar hoe dan?

Ze denkt dat ze het antwoord gevonden heeft.

Verantwoordelijke algoritmen

Frank Pasquale:

Over the past decade, algorithmic accountability has become an important concern for social scientists, computer scientists, journalists, and lawyers. Exposés have sparked vibrant debates about algorithmic sentencing. Researchers have exposed tech giants showing women ads for lower-paying jobs, discriminating against the aged, deploying deceptive dark patterns to trick consumers into buying things, and manipulating users toward rabbit holes of extremist content. Public-spirited regulators have begun to address algorithmic transparency and online fairness, building on the work of legal scholars who have called for technological due process, platform neutrality, and nondiscrimination principles.

Door deze eerste golf van wetenschappelijk onderzoek (en activisme) is er breder maatschappelijk bewustzijn ontstaan, wat langzamerhand begint te leiden tot regelgeving. Mede doordat:

many members of the corporate and governmental establishment now acknowledge that data can be biased, inaccurate, or inappropriate. 

Pasquale legt uit dat de eerste golf van onderzoek pas het begin was. Daarin lag de focus op het verbeteren van bestaande systemen. Met de tweede golf wordt onderzocht of dergelijke systemen eigenlijk moeten bestaan:

For example, when it comes to facial recognition, first-wave researchers have demonstrated that all too many of these systems cannot identify minorities’ faces well. These researchers have tended to focus on making facial recognition more inclusive, ensuring that it will have a success rate as high for minorities as it is for the majority population. However, several second-wave researchers and advocates have asked: if these systems are often used for oppression or social stratification, should inclusion really be the goal? Isn’t it better to ban them, or at least ensure they are only licensed for socially productive uses?

En dat zijn dé vragen.

Pepers

Rode groene pepers roelio

Wat is CNAME Cloaking?

CNAME Cloaking is een techniek die online trackers hebben ontwikkeld om mensen die een ad blocker of content blocker hebben geïnstalleerd toch te kunnen volgen. De BBC, Arstechnica.com, The Washington Post, Liberation en Le Monde gebruiken het al.

Het werkt zo:

CNAME Cloaking (..) is used to disguise a third-party tracker as first-party tracker. In this case, they are also purposely obfuscating this behind a random subdomain, with a CNAME to a generic and unbranded domain.

Vervolgens proberen de grote trackers die algemene domeinnaam zo te registreren dat deze niet of nauwelijks naar hen herleidbaar is.

Waarom werken ad/content blockers dan niet meer?

Nu blokkeren onze content blockers bepaalde inhoud in webpagina’s op basis van een set regels. Iedere regels bevat de domeinnaam van een tracker, en iedere verwijzing naar zo’n tracking domeinnaam (bv. facebook.com/mensen_volger.js of google.com/analytics.js) in een webpagina die jij opent wordt geblokkeerd. Daardoor worden advertenties en tracking code niet geladen. En surf jij veiliger en sneller.

Maar door CNAME Cloaking:

  1. Kunnen content blockers niet achterhalen wat er gebeurt. Content blockers hebben namelijk geen toegang tot de DNS.
  2. Wordt de tracking-domeinnaam (3rd party tracker) onzichtbaar gemaakt voor jouw browser. De tracking-code 'lijkt' ingeladen te worden vanaf een subdomein van de website die jij bezoekt, waardoor het een 1st party tracker wordt.
  3. Omdat die subdomeinnamen compleet willekeurig zijn, zullen content blockers voor iedere website die dit gaat toepassen een individuele blokregel moeten opnemen. Heel veel werk. Wat websites met tracking code kunnen ondervangen door de CNAME automatisch te veranderen.
  4. Extra complicerende factor is dat content blocking API's op iOS en Android maar maximaal 50.000 en respectievelijk 30.000 blokregels ondersteunen, wat nooit genoeg zal zijn als iedereen CNAME Cloaking gaat gebruiken.

Wat nu?

Tsja, lastig. Alleen Firefox op de desktop ondersteunt nu extensies die zelf DNS queries maken. NextDNS, de schrijver van het gelinkte artikel, biedt een oplossing. En misschien leidt het er uiteindelijk toe dat we meer mogelijkheden krijgen om javascript uit te zetten? Dat zou het ook kunnen oplossen.

(Via Michael Tsai.)