Nieuwe Cookiewet eenvoudig te omzeilen

De nieuwe richtlijnen voor telecommunicatie – in de volksmond de ‘cookiewet’ – zijn eenvoudig te omzeilen. Op dit moment is de Tweede Kamer bezig met het afronden van de wet die onder meer regelt dat providers geen cookies meer op smartphones van gebruikers mogen plaatsen (om te voorkomen dat ze het internetgedrag kunnen monitoren).

Uit onderzoek van informaticastudent Ralph Broenink van de Universiteit Twente komt naar voren dat Vodafone op een andere manier, zonder dat de gebruiker hier iets aan kan doen, nog steeds het internetgebruik van smartphone-gebruikers kán volgen.

Vodafone maakt het volgen van gebruikers mogelijk zonder dat het hiervoor toegang tot de apparatuur van de gebruiker nodig heeft. Uit het onderzoek van Broenink komt naar voren dat het bedrijf de HTTP-requests (het verzoek van een webbrowser om informatie van een website) verrijkt met een stuk identificerende informatie. Het gaat hierbij om een HTTP-header genaamd X-VF-ACR: ‘Vodafone Anonymous Customer Recognition’. Met behulp van de interface die Vodafone aan haar partners beschikbaar stelt, kan de header worden gebruikt om een anonieme identiteit van de klant vast te stellen. Vodafone en haar partners kunnen met de header sessies van klanten aan elkaar koppelen, ook nadat een klant is gewisseld van browser of telefoon. In tegenstelling tot cookies, kan deze aanvullende informatie niet ‘zomaar’ door de klant worden verwijderd.

Ralph Broenink voerde, ter afronding van zijn bacheloropleiding Informatica, het onderzoek uit bij de vakgroep Distributed and Embedded Security (DIES) van het onderzoeksinstituut CTIT. Hij kreeg een 9 als eindcijfer voor zijn onderzoek.