“Er is heel wat mis met voorgeïnstalleerde Android-apps”

Androidtelefoons besmet met HummingBadSpaanse en Amerikaanse onderzoekers hebben bekeken hoe voorgeïnstalleerde toepassingen op Android-telefoons omgaan met je gegevens. Het zou om 82 000 toeps gaan. Volgens de onderzoekers is er tussen de makers van die apps, telecombedrijven en fabrikanten een heel ‘ecosysteem’ ontstaan met een uitgebreid onderling netwerk, met inbegrip van bedrijven die dol zijn op je gegevens. Veel van die toeps hebben toegang tot persoonlijke gegevens zonder dat gemiddelde gebruiker zich daarvan bewust is of weet hoe hijzij de boel kan verwijderen, stellen de onderzoekers (pdf-bestand).
De onderzoekers bekeken zo’n 82 000 voorgeïnstalleerde toepassingen op meer dan 1700 toestellen van 214 fabrikanten. Het werd de onderzoekers duidelijk dat Android toepassingen nogal ruime bevoegdheden geeft wat betreft toegang tot je gegevens. De meeste gebruikers hebben dat niet of nauwelijks in de gaten. Daar komt bij dat de positie van deze voorkeurstoeps in het systeem het voor de gemiddelde gebruiker lastig maakt zich van deze ongewenste spionage te ontdoen, aldus de onderzoekers.
De resultaten van deze studie zullen worden gepresenteerd op het 41ste IEEE-symposium over veiligheid en privacy in april in Californië. De Spaanse privacywaakhond AEPD zal de resultaten overhandigen aan de verantwoordelijke autoriteiten binnen de EU.

Het schijnt dat Android twee toestemmingsniveaus heeft: een dat aan de gebruiker is en een ander waarbij toepassingen de toegang tot persoonlijke gegevens meekrijgen zonder dat de gebruiker daar toestemming voor hoeft te geven. Het gaat dan om toepassingen die via Google Play worden verkocht.
Zo’n 1200 ontwikkelaars zijn verantwoordelijk voor die voorgeïnstalleerde toepassingen, waarbij zo’n 11 000 bibliotheken van derden zijn betrokken. Een belangrijk deel van die bibliotheken houdt verband met advertentiediensten en het volgen van webgedrag voor commerciële doeleinden, stellen de onderzoekers. Een uitgebreide analyse van de helft van die toepassingen zou hebben duidelijk gemaakt dat vele ervan mogelijk gevaarlijk (?; as) en ongewenst gedrag vertonen. Ook zou de lijst van bevoegdheden van de verschillende toeps niet overeenkomen met de werkelijke situatie.

AVG

Een en ander zou volledig in strijd zijn met de Europese algemene verordening gegevensbescherming (AVG), waarbij wordt uitgegaan van het principe dat bescherming van persoonsgegevens voorop staat en de beslissing bij de gebruiker ligt en niet bij de fabrikant of dienstverlener. Als het klopt wat de onderzoekers gevonden hebben (en waarom zou dat niet?) dan ligt het voor de hand dat de EU de ontwikkelaars, fabrikanten en dienstverleners binnenkort de wacht aanzegt. Het zijn mooie tijden…

Bron: Alpha Galileo

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.