Op het forum van de website tweakers.net las ik een posting over een X-ASID-header die Vodafone in de HTTP-requests gedaan met of via je mobiel injecteert. ASID staat voor "Anonieme subscriber ID". In normale taal: je kunt die ASID-code zien als ware het dat Vodafone jouw webbrowser voorziet van een kentekenplaat. Een unieke code, gekoppeld aan jouw mobiel. Elke website die je dan met je mobiel bezoekt kan die kentekenplaat zien, en opslaan. Het is hiermee mogelijk dat websites jouw acties op de website, en hoevaak je de website bezoekt, exact kunnen volgen.
Waarom die ASID-code?
Voor aanbieders op internet is het handig. Omdat de code uniek is, en door de telco's aan jouw sim-kaart gekoppeld is, is deze betrekkelijk veilig. Dankzij deze ASID-code kun je online makkelijk muziek, ringtones, filmpjes etc aanschaffen, zonder dat je telkens een complexe en vervelende aanmeld- en betaalprocedure hoeft te doorlopen. Je maakt jezelf eenmaal kenbaar op de site in kwestie, geeft je betaalgegevens op, en vervolgens kun je met simpelweg een klik op "ok" elke aanschaf op de website bevestigen. De ASID-code is hiermee een soort van klantenkaart geworden.
Waarom wil ik het niet?
Nou lijkt de ASID-code enigszins op de aloude "cookies" die webbrowsers ondersteunen. Het verschil is dat je in de browser de cookies kunt wissen, en zelfs geheel kunt uitschakelen. Dat kan met die ASID-header niet - althans niet direct. Een groter verschil is, is dat de ASID-header uniek is voor jouw SIM-kaart. Hiermee zouden de beheerders van website X en Y precies kunnen zien wie op zowel website X en Y zijn geweest. En stel, je bent ingelogd bij website X, dan is met "dankzij" de ASID-header ook voor website Y jouw identiteit te achterhalen.
Maar zo heet wordt de soep ook weer niet gegeten: net als met een kentekenplaat is het in principe voor websites niet mogelijk om met de ASID-header je identiteit te achterhalen. Als ik met Vodafone een website zou bezoeken, dan weet die website dat ik "persoon 55d2y7D2" ben, maar ze weten niet dat dat in feite "Randy Simons" is. Je blijft dus anoniem. Daarnaast is het zomaar koppelen van de gegevens van website X en Y, zoals ik hierboven schetste, is in principe verboden vanwege de privacywetgeving.
De "Memorandum of Understanding" bevat voorwaarden waar de gebruikers van X-ASID zich aan te houden hebben. Maar alle wetgeving, gedragscodes en convenanten ten spijt zie ik het liever niet. Naar mijn mening binden de telco's met de ASID-code de kat op het spek. De normale gebruiker heeft geen enkele zicht op wat er precies met "zijn" ASID-code gebeurt. Combineer dat met een "wat niet weet wat niet deert"-mentaliteit die sommige bedrijven erop na lijken te houden, en je online privacy gaat ongemerkt verder verloren.
Overigens, bij Vodafone wordt de ASID-code dus naar iedere bezochte website gestuurd. Met veruit de meeste van deze websites zal Vodafone geen overeenkomst zijn aangegaan m.b.t. ASID. Deze sites hoeven zich dus niet aan de "Memorandum of Understanding" te conformeren! Voor hen geldt "slechts" de wet.
Tenslotte is de ASID-code ongemerkt en ongevraagd geïntroduceerd. Althans, ik heb niks gezien. Dat vind ik op zijn best "niet netjes", aangezien online privacy toch al onder druk staat.
Hoe wijdverspreid is de ASID-code?
In de eerste alinea had ik het over Vodafone. Deze telecommaatschappij stuurt de ASID-code mee naar alle websites die je met je mobiel bezoekt, zo is bevestigd door Vodafone. Volgens het ASID Cookbook sturen de netwerken KPN, Hi en T-Mobile de ASID-code alleen naar websites die zich hebben aangemeld voor de dienst. Welke websites dat zijn is onbekend. Andere netwerken (Telfort en Orange worden genoemd) sturen de ASID-code niet naar websites.
De ASID-tester
Om te controleren of jouw provider de ASID-code verzendt heb ik de ASID-tester gemaakt. Bekijk deze pagina met je mobiel, en je krijgt het resultaat direct te zien. De testpagina is ook te bereiken via http://randysimons.nl/147, dat is wat minder typewerk op je mobiel. Als je benieuwd bent wat je te zien kunt krijgen, dan zijn er wat screenshots van de ASID-tester beschikbaar.
Noot: vooralsnog stuurt alleen Vodafone deze header altijd mee. Andere telco's zullen de header als het "goed" is niet naar de testpagina zenden, omdat ik de testpagina uiteraard niet bij hen heb aangemeld.
Hoe kom je er vanaf?
Dat is de grote vraag! Ik heb mijn provider gemaild (zie hieronder), en bij T-Mobile blijkt er een opt-out mogelijk te zijn:
Voor T-Mobile: ASID uitschakelen kan door "ID Uit" te SMS'en naar 1310. Je krijgt dan de bevestiging "Vanaf nu wordt uw anonieme ID niet meer meegestuurd bij mobiel internet". Door "ID Aan" te SMS'en naar 1310 zet je het weer aan.
Voor Vodafone: ik heb vernomen dat bij Vodafone het meezenden van de ASID niet is uit te schakelen. Vodafone stuurt de ASID-header altijd mee, tenzij je met een bekende desktop-browser surft. De truc is dan ook om je mobiele webbrowser zich te laten identificeren als een normale desktop-browser, zoals Firefox. Helaas is dit lang niet bij alle mobiele webbrowsers mogelijk. Ook kan het alarmbellen laten rinkelen bij Vodafone: bij veel abonnementen is het niet toegestaan om te "tetheren", en dus met een PC te gaan surfen via het Vodafone-netwerk. Het gebruik van een desktop-user agent string impliceert normaal gesproken dat je wél met een PC surft.
Voor andere providers weet ik het niet! Neem contact op met de klantenservice, en maak je ongenoegen duidelijk.
Meer informatie
- T-Mobile ASID portal.
- Open Mobiel Internet, platform dat ASID ontwikkeld heeft.
- ASID Cookbook, technische details.