Apps houden stiekem je doen en laten op je telefoon bij

telefoonschermEen groot aantal telefoontoepassingen hebben stiekem toegang tot je privégegevens of blokkeren inhoud die door anderen wordt aangeboden, zo ontdekten onderzoekers van de staatsuniversiteit van Ohio.
Volgens Zhiqiang Lin van de universiteit van Ohio doen toepassingen stiekeme en soms schadelijke dingen waar de gebruikers niets van af weten. Hij zal een verhaal over het onderzoek houden op een IEEE-congres over veiligheid en privacy dat op de rol staat voor mei. Vanwege het coronavirus dat nu huishoudt in de VS zal het congres ‘op het web’ plaatsvinden.
Toepassingen doen iets met wat de gebruiker ‘aanbiedt’. Zo tikken die vaak woorden en klikken op koppelingen, Daarop reageren de toeps. Voor hun studie bekeken de onderzoekers 150 000 telefoonapps: de 100 000 populairste van Google Play (de appwinkel van Google), 20 000 van een alternatieve aanbieder en 30 000 voorgeïnstalleerde toepassingen.

12 706

Het bleek dat 12 706 toeps (8,5%) iets bevatte wat de onderzoekers ‘achterdeurgeheimen’ noemen. Ze ontdekten ook dat sommige toepassingen ingebouwde ‘moederwachtwoorden’ hebben. Iemand die zo’n wachtwoord kent heeft toegang tot de app en de gegevens die die verzamelt. Sommige toepassingen hebben geheime toegangscodes die bepaalde mogelijkheden bieden. Lin: “Zowel gebruikers als ontwikkelaars lopen het gevaar dat een kwaadwillige die ‘achterdeurgeheimen’ kent.” Met behulp van ‘omgekeerd ontwerpen’ kunnen derden daar achter komen, stelt hij. Ontwikkelaars van apps denken altijd dat die methode geen wezenlijke bedreiging is, stellen de onderzoekers.

Misplaatst vertrouwen

“De voornaamste reden waarom die ‘achterdeurgeheimen’ in apps voorkomen is het misplaatste vertrouwen van ontwikkelaars”, zegt medeonderzoeker Qingchuan Zhao. “Om hun apps echt te beveiligen hebben die relevante informatie van de gebruiker nodig en daarom plaatsen ze hun geheime hulpmiddelen op de servers.”
Ruim vierduizend toepassingen (2,7%) blokkeerden bepaalde informatie op basis van trefwoorden zoals ‘censuur’, ‘pesten’ of ‘achterstelling’. Dat dat in toeps gebeurt is niet verrassend, maar wel dat dat van afstand gebeurt.

Lin: “Vele gebruikersplatforms worden vooraf gefilterd zoals Facebook, Instagram en Tumblr.” Veel gebruikers weten dat, maar niet welke termen er in de ban zijn gedaan. Dat zou betekenen dat hun bijdrage wordt geblokkeerd. Volgens de onderzoeker is het verstandig dat gebruikers duidelijk te maken.
De onderzoekers ontwikkelden een vrij bruikbaar hulpmiddel, InputScope (pdf-bestand), om ontwikkelaars zwaktes in hun ontwerp aan te wijzen, maar ook om aan te tonen dat omgekeerd ontwerpen vrijwel helemaal is te automatiseren.

Bron: EurekAlert

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.