70% van de toepassingen op mobiele telefoons delen persoonlijke gegevens met derde partijen zoals Google Analytics, Facebook Graph API of Crashlytics.
Als je toepassingen op je telefoon installeert dan word je gevraagd tot welke gegevens je ze toegang geeft. Dat is mooi. Toepassingen hebben die soms nodig om te kunnen functioneren, maar als je eenmaal toestemming hebt gegeven dan kan de app die informatie delen met elke derde partij die de appontwikkelaar heeft uitgekozen. Dat zou die derden inzicht kunnen geven in je doen en laten.
Toepassingen verzamelen niet alleen gegevens van je telefoon. Kaartapps, bijvoorbeeld, sturen ook je locatie naar een server teneinde de route te bepalen naar een gewenste bestemming. Die app kan die gegevens ook ergens andere heen sturen. Veel toepassingen combineren allerlei functies die zijn ontwikkeld door andere partijen, de zogeheten derdenbibliotheken. Die ‘bibliotheken’ helpen ontwikkelaars om hun toepassingen te verbeteren, verbinden je met sociale media en brengen geld in het laatje door je reclame en andere info te tonen, zonder dat de appmaker dat allemaal van de grond af moet opbouwen.
Dat kan nuttig zijn, maar die ‘bibliotheken’ verzamelen ook gevoelige gegevens en sturen die naar hun eigen servers. Op die manier kunnen de ontwikkelaars van die bibliotheken gedetailleerde profielen maken van hun gebruikers. Zo kan iemand een app toestemming geven om zijn/haar locatie bij te houden en een ander om gebruik te maken van het adresboek. Dat zijn aparte gevallen maar als beide toepassingen eenzelfde bibliotheek gebruiken van een derde partij kan die een en een op gaan tellen.
Onbewust
Gebruikers komen daar niet achter, omdat apps niet verplicht zijn te vertellen welke softwarebibliotheken ze gebruiken. Slechts weinige apps vermelden hun privacybeleid. Dat zijn ook nog eens typisch teksten die mensen niet of nauwelijks lezen en als ze dat al doen niet of nauwelijks begrijpen.
De onderzoekers probeerden te achterhalen hoeveel gegevens er zouden kunnen worden verzameld zonder dat de gebruikers daarvan op de hoogte zijn. Om daar achter te komen ontwikkelden ze een, gratis, toepassing voor een Android-telefoon: Lumen Privacy Monitor. Die meet het digitale verkeer van apps om te zien welke apps en webdiensten actief gegevens verzamelen.
Met Lumen ziet de gebruiker waar zijn gegevens naar toe gaan. Omdat de onderzoekers ook wat terug wilden hebben vragen ze gebruikers of ze sommige door Lumen verzamelde gegevens mogen ontvangen. Dat zijn beklemtonen de onderzoekers, geen privacygevoelige gegevens.
Lumen houdt bij welke toepassingen actief zijn en of ze privacygevoelige gegevens versturen, naar welke webstekken er gegevens verstuurd worden, welk netwerkprotocol er gebruikt wordt en welke informatie daarheen wordt gestuurd. Die gegevens worden geanonimiseerd voor de onderzoekers er mee aan de slag gaan. Zo worden er geen precieze locaties verklapt.
70%
Op die manier kregen de onderzoekers gegevens van 1600 mensen die alles bij elkaar meer dan 5000 toepassingen gebruikten. Het bleek dat bijna 600 webstekken gebruikers volgden voor reclamedoeleinden, met inbegrip van sociale media als Facebook en bedrijven als Google of Yahoo of dienstverleners als Verizon Wireless.
70% van die apps verbonden zich met ten minste een volgsysyteem, 15% zelfs met meer dan vijf. Een kwart van die volgsystemen noteerde een unieke toestelcode van de gebruiker, zoals telefoonnummer of IMEI-nummer. Die zijn belangrijk voor de volgsystemen omdat daarmee de vergaarde gegevens aan een persoon kunnen worden gekoppeld. De meeste gebruikers, ook de bijdehantere, hebben daar geen weet van.
Het achtervolgen van gebruikers via mobiele telefoons is volgens de onderzoekers onderdeel van een groter probleem. Meer dan de helft van de volgsystemen die ze ontdekten volgen die gebruikers ook op internet. Zo krijgen die ‘dienstverleners’ een nog beter beeld van de achtervolgde.
Die systemen zijn bovendien niet noodzakelijkerwijs onafhankelijk van elkaar. Zo bezit Alphabet, de moedermaatschappij van Google, verschillende volgsystemen zoals Google Analytics, DoubleClick en vergaren tezamen gegevens via bijna de helft van het aantal apps in het onderzoek (meer dan 5000, dus).
Zwakke privacywetgeving
De onderzoekers vonden dat de verzamelde gegevens grenzen passeerden en vaak opgeslagen werden in landen met een zwakke privacywetgeving (de meeste, schat ik). 60% van dergelijke routes loopt naar de VS, het VK, Frankrijk, Singapore, Zuid-Korea en China, landen die er nogal gretige inlichtingendiensten op na houden. Dat betekent vaak dat de plaatselijke overheid niet al te veel problemen heeft om bij die verzamelde gegevens te komen.
De onderzoekers beseffen dat hun onderzoek weliswaar de populairste Android-apps betroffen, maar dat het gaat om een relatief gering aantal. Ook het aantal onderzochte gebruikers is aan de lage kant. Het zou kunnen dat hun onderzoek slechts het oppervlak toont en dat het probleem nog groter is dan nu aangetoond. Het zou, is mijn inschatting, ook minder erg kunnen zijn als de telefoon van Apple zou zijn meegenomen. Hoe je het wendt of keert, Android is toch ontwikkelt door Google die groot is geworden door gegevens te verzamelen voor reclamedoeleinden.
Gratis
Wat de gebruikers er aan kunnen doen is ook problematisch. Je kunt de apps natuurlijk allerlei bevoegdheden onthouden, maar dan werken die apps wellicht niet. Het blokkeren van reclame ontneemt appmakers een bron van inkomsten en daar zullen ze niet blij mee zijn. Het lijkt me dan ook voor de hand liggen om geen gratis apps meer te nemen, maar de vraag is of je daarmee ontkomt aan ongezonde nieuwsgierigheid van de appmakers en consorten. De onderzoekers stellen dat die praktijken bij betaalde apps minder voorkomen, maar ook betaalde toepassingen achtervolgen gebruikers en sturen gegevens door naar derden.
Hier lijkt een taak voor wetgeving, denken de onderzoekers. Gebruikers moeten weten waar ze toestemming voor geven. Volg de achtervolgers, is de raad van de onderzoekers.complete solution.
Bron: Alpha Galileo