Vodafone kan ook zonder cookies het internetgebruik op smartphones eenvoudig volgen. Dat stelt informaticastudent Ralph Broenink van de Universiteit Twente na onderzoek dat hij deed ter afronding van zijn bacheloropleiding.

De nieuwe richtlijnen voor telecommunicatie, ook wel de 'cookiewet' genoemd, zijn volgens Broenink eenvoudig te omzeilen. Op dit moment is de Tweede Kamer bezig met het afronden van de wet die onder meer regelt dat providers geen cookies meer op smartphones van gebruikers mogen plaatsen. Dit moet voorkomen dat telecomaanbieders het internetgedrag van hun klanten kunnen monitoren.

HTTP-header

Uit onderzoek van de informaticastudent van de Universiteit Twente blijkt echter dat Vodafone op een andere manier, zonder dat de gebruiker hier iets aan kan doen, nog steeds het internetgebruik van smartphone-gebruikers kan volgen. Vodafone heeft hiervoor geen toegang tot de apparatuur van de gebruiker nodig. Het telecombedrijf verrijkt de HTTP-requests namelijk met identificerende informatie. Het gaat hierbij om een HTTP-header genaamd X-VF-ACR, wat staat voor 'Vodafone Anonymous Customer Recognition'.

Met behulp van de interface die Vodafone aan haar partners beschikbaar stelt, kan de header worden gebruikt om een klant te volgen. Vodafone en haar partners kunnen met de header sessies van klanten aan elkaar koppelen, ook nadat een klant is gewisseld van browser of telefoon. In tegenstelling tot cookies, kan deze aanvullende informatie niet eenvoudig door de klant worden verwijderd.

Obscure methode

Broenink noemt de methode op Twitter obscuur. In november plaatste hij de tweet: ‘@vodafoneNL kan/wil niet zeggen wat het is, dus wil ik er zelf achter komen’. De informaticastudent voerde het onderzoek uit bij de vakgroep Distributed and Embedded Security (DIES) van het onderzoeksinstituut CTIT. Hij kreeg een 9 als eindcijfer voor zijn onderzoek.