Zo verzamelen Android-apps ongewild data

Inmiddels zijn we eraan gewend dat we apps toestemming moeten geven om bepaalde functies op je smartphone te mogen gebruiken. Zowel Android- als iOS-apps vragen om toegang tot je contacten, berichten, bestanden, camera of locatie en in ruil daarvoor krijg je een goedwerkende applicatie.

Het is echter niet nodig om altijd overal toestemming voor te geven en je mag verwachten dat apps deze keuze respecteren. Onderzoekers van het International Computer Science Institute zijn erachter gekomen dat dit helaas niet het geval is en dat de apps alsnog manieren vinden om toegang te krijgen tot data, ondanks dat je de toegang hebt ontzegd.

Onder de 88.000 bestudeerde apps werden er minstens 1.300 gevonden die meer dan vijftig manieren kennen om via een omweg bij je gegevens te komen, zonder dat je daarvoor toestemming hebt gegeven. Het betreft apps uit diverse categorieën en zelfs populaire ontwikkelaarskits zouden codes bevatten die gebruikt worden voor het opslaan van persoonlijke gebruikersgegevens.

Twee manieren

Er zouden twee populaire manieren zijn om de beperkingen die gebruikers opleggen aan een app te omzeilen. De eerste manier draagt Android zelf aan met de ontwikkelaarskit Unity, die toestaat dat tientallen apps bepaalde data op je mobiele apparaat zetten om meer te weten te komen over de gebruiker.

Daarnaast hebben diverse apps een slimme, onorthodoxe manier gevonden om gebruikersinformatie te delen met apps die niet dezelfde rechten hebben gekregen. De Chinese app Baidu gebruikt bijvoorbeeld de SD-kaart om gevoelige gebruikersgegevens op te slaan, die vervolgens benaderd kunnen worden door apps die daar technisch gezien geen toegang tot mogen hebben. Volgens onderzoekers gaat het om 153 van dit soort apps, die op meer dan 500 miljoen apparaten te vinden zijn.

Google beloonde de onderzoekers voor hun bevindingen en belooft verbetering in de opkomende update Android Q.