Het is altijd weer hetzelfde gezeur. Toepassingen die brutaal allerlei gegeven van je telefoon gebruiken, zonder dat je ze daar uitdrukkelijk toestemming voor geeft. Onderzoekers van het technologisch instituut van de Amerikaanse staat Virginia hebben meer dan 100 000 Android-toepassingen op ongeoorloofde toegang doorgevlooid. Die bleken soms samen te doen om ongeoorloofde toegang tot je gegevens te krijgen. En ondertussen worden Android-toestellen ook belaagd door de spiewaar Pegasus waar de iPhone vorig jaar last van had.
“Sommige apps die geen goede reden hebben om toegang tot bepaalde gegevens te vragen kan dat niets schelen. Ze blijken er in te slagen die gegevens via andere toepassingen te krijgen”, zegt onderzoeker Gang Wang van Virginia Tech.
Android-toepassingen worden bekeken op virussen en andere veiligheidsrisico’s voor Google ze in de etalage zet, maar alleen apart. Als ze eenmaal op de telefoon staan kunnen ze gebruik maken van andere toepassingen, zonder dat de gebruiker daar weet van heeft. De onderzoekers ontdekten dat sommige toepassingen die ‘samenwerking’ misbruiken om bij gegevens te komen waar ze geen toestemming voor hebben.
57 boosdoeners
“We hadden al langere tijd zo’n vermoeden, maar dat was niet hard te maken. Nu hebben we vele app-paren bekeken”, zegt Daphne Yao van Virginia Tech. Van de ruim 100 000 populairste toepassingen in Googles winkel vonden de onderzoekers 23 495 ‘samenwerkende’ paren.
Het bleek echter dat van al die ‘samenwerkingsparen’ slechts 57 apps de aanstichter waren. De toepassingen die het ergst over de schreef gingen waren juist de onschuldig ogende apps zoals die je extra emojis bezorgen, je telefoon een andere achtergrond geven of je beltoon op je toesnijden. De onderzoekers zullen de resultaten van hun analyse op een congres over computerveiligheid dat deze week in Abu Dhabi wordt gehouden.
Yao: “Het slechte nieuws is dat deze apps probleemloos informatie kunnen doorgeven. Het goede nieuws is dat hun aantal nog vrij klein is.” Het is de onderzoekers niet duidelijk geworden of het ongeoorloofd ‘lenen’ van gegevens opzet is of een gevolg van programmeerfouten.
Het is natuurlijk wel zo dat als die mogelijkheid bekend wordt er ongetwijfeld meer kapers op de kust zullen komen. De onderzoekers vinden dat Google ook deze slinkse manier van gegevensdiefstal bij app-paren bij nieuwe toepassingen in zijn winkel zou moeten testen. Het wordt er allemaal niet eenvoudiger op.
Spiewaar
Ondertussen is ook bekend geworden dat Android-toestellen nu ook bestookt worden door spionageprogrammatuur, spiewaar, Het spionageprogramma Pegasus belaagde vorig jaar de iPhones van Apple. Gebruikers van besmette toestellen kunnen volledig gevolgd worden door derden in hun doen en laten op het toestel. Dat Pegasus ook wordt ingezet voor Android-telefoons werd ook ontdekt door hetzelde bedrijf Lookout. Volgens Lookout zit net als bij de iPhone ook nu het Israëlische bedrijf NSO Group achter de verspreiding van Pegasus. Het programma zou zijn opgedoken in Venezuela, Mexico en (weer) de Verenigde Arabische Emiraten.
Google, die liever spreekt van Chrysaor, stelt dat er enkele tientallen toestellen zijn besmet en dat de risico’s voor de gewone gebruikers laag zijn. Er tekent zich wel een trend af dat de aanvallen steeds vaker op mobiele technologie zijn gericht in plaats van computers.
Net als bij zijn iOS-voorganger zit Pegasus voor de Androidvariant zo listig in elkaar dat dat progje zichzelf vernietigt op het moment dat hij dreigt te worden ontdekt. De spiewaar komt niet op een telefoon via een malafide app die in Googles appwinkel wordt aangeboden, maar op een andere manier. Dat kan via een koppeling naar een besmette webpagina. Lekken zullen worden gedicht, maar door een combinatie van argeloosheid van de gebruiker en kwetsbaarheden in toepassingen zullen dergelijke bedreigingen nooit geheel te zijn uit te bannen. Dat is de tol die we betalen voor onze totale ‘verbondenheid’.
Bronnen: New Scientist, de Volkskrant