Lang voordat Facebook en Google kampioenen werden in het mee-gluren voor adverteerders, hun klanten, was er al een manier om dat te doen in e-mails. Dat gebeurt met spy-pixels, pixels die in mailtjes geplaatst worden, zodat bij het tonen daarvan een aantal dingen vastgelegd kunnen worden.

Deze manier van mee-gluren is ondergesneeuwd door alle recente aandacht voor het maken van profielen door de hierboven genoemde sociale media. Maar volgens de BBC heeft inmiddels maar liefst tweederde van alle mails zo’n pixel, en dan is spam nog niet eens meegerekend. Met zo’n pixel kan de afzender zien of een mail bekeken wordt, zo ja, wanneer, hoe vaak die bekeken wordt, op welk device of devices dat gebeurt en waar je ongeveer zit.



Dat laatste is minder exact dan wat de sociale media vastleggen, omdat het hierbij alleen op basis van je IP-adres gebeurt.

Spy-pixels blokkeren in macOS

In Mail in macOS kan je jezelf hier enigszins tegen wapenen door het laden van afbeeldingen die vanaf een server ingeladen wordt standaard uit te zetten. Dat doe je in de Voorkeuren naar Weergave te gaan, en daar het vinkje bij “Laad extern materiaal in berichten” weg te halen.


klik op de afbeeldingen voor een grotere versie

Als je dan een mailtje in Mail open krijg je rechtsboven een knop met “Laad extern materiaal” te zien. Zolang je daar niet op klikt zal er ook geen enkele spy-pixel geladen worden. Je krijgt dan natuurlijk ook geen andere afbeeldingen te zien.



Spy-pixels blokkeren in iOS

Ook in iOS is het natuurlijk mogelijk om dit te blokkeren. Dat doe je in Instellingen → Mail, en dan het schuifje bij Laad Afbeeldingen naar links te plaatsen. In mail waar afbeeldingen op de server staan zie je dan bovenaan de optie om die afbeeldingen eventueel alsnog in te laden.





 #macOS #Mail #iOS

Klinkt overtuigend en als een goed idee!! Meteen gedaan. Dank je wel.

Die ga ik ook even instellen, bedankt voor de herinnering!

De afgelopen maanden wordt ik helemaal plat gemaild (en gebeld) door allerlei dating sites met Aziatische of Russische dames, en plat gebeld door allerlei "servicevergelijkers". Tegenwoordig werkt schelden ook heel goed merk ik, dat zijn dan spontaan de kortste telefoontjes die je kunt hebben, maar wat een hardnekkige dienstverleners heb je af en toe zeg.

Ik krijg inderdaad minder illustraties te zien maar .png en .gif staan er gewoon nog in.

Maar zodra je die (ontvinkte) mail opent of ergens op klikt, weet een dienst zoals MailChimp ook wat je doet.

En anderen doen iets dergelijks door het gebruik van unieke codes in opgenomen links die verwijzen naar jouw email-adres. En die zie je trouwens niet eens altijd.

Klopt dat pixels worden gebruikt, maar eveneens fingerprinting, analyse van geinstalleerde fonts en inmiddels zijn er ook de nodige gecombineerde handigheidjes, sommige gaan best ver, zoals bijvoorbeeld aantal mogelijke berekeningen per seconde koppelen aan fonts en dit weer koppelen aan andere (meta) data of gebruik van speciale danwel geprepareerde (herleidbare) links.

Elke computer op elk platform is hier voor vatbaar. Daarnaast gebruiken mensen toch best vaak software, waar soms de beste bedoeling achter zaten, maar verworden zijn tot instrument van een onmetelijke datahonger.

Een reden voor mij om bijvoorbeeld WPS Office volledig te mijden is eenvoudig. Van WPS software bestaat er een EU versie en een non-EU versie. Alleen al dit zou je aan het denken moeten zetten, maar zelfs in de EU versie wordt er gebruik gemaakt van de nodige tracking technieken. Laat ik het zo formuleren, ik ben geen fan van economische dwangmaatregelen of politiek haantjes gedrag ... Maar (helaas) kan ik vanuit mijn expertise bevestigen dat er echt het nodige mis is met een scala aan producten. Waaronder diverse Chinese producten. Ik betwijfel of dit altijd doelbewust is. Sommige overheden zijn veel verder dan ze doen geloven met informatiebeveiliging (en het omzijlen van deze). Daarbij is het de laatste tijd niet Amerika die per definitie de ranglijsten aanvoert inzake expertise.

Pixels uitzetten gaat helpen, maar mogelijk is het zowieso een idee om waar mogelijk gewoon weer plain text mail te sturen en HTML (of RTF) volledig uit te zetten. Soms is een stap terug uiteindelijk een stap vooruit.

Tot slot een kleine toevoeging: mail is mogelijk momenteel je minste zorg of probleem. Het grootste probleem (uit mijn eigen bevindingen alszowel van collegae) zit hem in diverse messaging platforms. En helaas is iMessage hierin niet een uitzondering. Wel een van de betere, maar niet de top inzake beveiliging.

Dezelfde techniek werkt namelijk - in een iets gewijzigd scenario - ook in Instant Messaging.

Leuke iconen, leuke geanimeerde GIFS, leuke ander soortige plaatjes ... Binnen de informatiebeveiliging gruwelt men er meestal van ... Anderen genieten juist van de dwangmatigheid van menig gebruiker om op alles te klikken "wat glimt" en bovenal: te delen. Wat dit betreft zijn we in duizenden jaren weinig opgeschoten.

Verder is het niet altijd verstandig om tegelijk meerdere tabbladen open te hebben terwijl je op wat 'vagere websites' zit te browsen. Zowieso is het een tip om voor 'vagere sites', zo veel mogelijk gebruik te maken van een afgeschermd profiel met zoveel mogelijk restricties en geen persoonlijke data die bereikbaar is vanuit de browser-sessie.

Dan nog de kanttekening dat email nooit is ontstaan als zijnde 'veilig' medium. Het gaat langs meerdere gateways en is daarmee vatbaar voor misbruik. Dus als je documenten meestuurt: versleutel deze! Of, nog beter: versleutel het HELE bericht.

In Outlook voor windows kun je het laden van afbeeldingen blokkeren, maar kun je ook een "whitelist" gebruiken voor berichten van afzenders die wel te vertrouwen zijn. Maar ook Outlook faalt in dit opzicht evenals Apple Mail: er moet gewoon een optie worden ingebakken die tracking kan onderscheiden van gewone afbeeldingen (bijvoorbeeld alles kleiner dan 2 pixels, verwijzend naar speciale adressen, etc).

Tot slot: onderschat in deze niet de rol van overheden. Niet alles wordt namelijk even fijn gevonden - ook al dient het onze burgerrechten. Betere versleuteling (voor het volk) is niet wat iedereen prettig vindt. En Nederland? Deze is hierin (helaas) geen uitzondering. Nederland was een van de pioniers op het gebied van intelligent en proactief afluisteren van haar burgers in de breedste zin van het woord. Maar ook hier geldt wat niet weet, dat niet deert ... Inclusief het koppelen van (meta)data van verschillende bronnen. Meer wil ik er niet over kwijt. De rest kun je zelf verzinnen, negeren of afdoen als onzin.

Er zijn overigens platforms die de nodige bescherming bieden. Ze zijn zeker te zien als een stap in de goede richtiing. Een hiervan is Protonmail. Ik wordt niet door Protonmail gesponsord, maar heb de nodige zaken gereviewd inzake verschillende platformen en zie toch dat het protonmail platform goed zijn best doet veilige mail aan te bieden. Ze komen wat mij betreft een heel eind.

@doctor_apple: interessante post, dank daarvoor.

Wat ProtonMail betreft, dat is inderdaad een goede optie, maar:
- voor de Mac desktop heeft men voor zover mij bekend alleen webmail, geen programma dat je op de computer kunt installeren.
- de versleuteling die ProtonMail biedt werkt pas echt, als ook de ontvanger ProtonMail gebruikt; en dat zal in de regel niet het geval zijn.

Voor wat de WhatsApp-achtige programma's betreft, zie hier een actueel overzicht van de (on)hebbelijkheden per programma.

Ik gebruik Little Snitch. Laat je precies zien welke emails "naar huis bellen".


Ik heb dit toegevoegd aan de MacMiepMacCursus onder het hoofdstuk Privacy.

Die pixels in mail zijn al zo oud als de weg naar Rome.

Lastiger wordt het bij zaken als Supercookies die gebruik maken van favicons, bijvoorbeeld.

Zie https://www.macfreak.nl/tips-nieuwtjes-mededelingen/supercookies/

En:
https://tweakers.net/nieuws/178324/onderzoekers-waarschuwen-voor-tracking-via-favicons-in-cache-browsers.html

Plaatjes uitzetten helpt mij maar matig. Dat bezorgt me te vaak de extra handeling om ze alsnog te tonen.

LittleSnitch heb ik ook maar ik vond het niet te doen om Mail, Safari, Skype, Zoom en andere grootverbruikers per url te beoordelen. Dan zit ik echt de hele dag goed/af te keuren?

Ik geloof dat uiteindelijk alleen de makers van emailclients hierbij van dienst kunnen zijn.

Bij de buren van iCulture wordt de plugin MailTrackerBlocker als mogelijk alternatief voor het uitzetten van afbeeldingen in Mail aangeraden. Heeft iemand hier ervaring mee? Zou leuk zijn als MTB naar behoren functioneert, want het uitzetten van de afbeeldingen vind ik eigenlijk echt geen werkbare oplossing!

+1 A Henket

Bij de buren van iCulture wordt de plugin MailTrackerBlocker als mogelijk alternatief voor het uitzetten van afbeeldingen in Mail aangeraden. Heeft iemand hier ervaring mee? Zou leuk zijn als MTB naar behoren functioneert, want het uitzetten van de afbeeldingen vind ik eigenlijk echt geen werkbare oplossing!

Dank voor de tip! Zojuist geïnstalleerd. Best heftig om te zien hoeveel mail wel niet een oormerk krijgen!

Ik zie MailTrackerBlocker niet bij de add-ons van Firefox staan. Klopt dat, of kijk ik verkeerd?

Gezien de interesse voor dit onderwerp is er inmiddels een tip hier geplaatst met meer oplossingen.

Daarin komt MailTrackerBlocker ook aan bod, inclusief een uitleg hoe je dat kan installeren.

Ik zie MailTrackerBlocker niet bij de add-ons van Firefox staan. Klopt dat, of kijk ik verkeerd?

Het is een plugin voor Apple Mail. Meer info in het draadje van Robert, of bij iCulture.

@Timotheus wat betreft de web versie van ProtonMail zie mijn post hier: Ook MacFreak!
Reactie 13