Sommige van ’s werelds populairste toepassingen worden hoogstwaarschijnlijk gekaapt door malafide bedrijven om op grote schaal gevoelige locatiegegevens van telefoons (zowel iOS als Android) te verzamelen, waarbij die gegevens terechtkomen bij een locatiegegevensbedrijf waarvan de dochteronderneming eerder wereldwijde locatiegegevens aan Amerikaanse opsporingsdiensten heeft verkocht. Volgens BNR zou dat, m.m., ook gelden voor honderd Nederlandse toepassingen.
De duizenden apps, zo blijkt uit gekraakte bestanden van locatiegegevensbedrijf Gravy Analytics, omvatten alles van spellen als Candy Crush, van koppelapps als Tinder tot zwangerschapsregistratie en religieuze gebedsapps voor zowel Android als iOS.
Omdat een groot deel van de verzameling plaatsvindt via advertenties – niet via code die is ontwikkeld door de app-makers – gebeurt deze gegevensverzameling waarschijnlijk zonder medeweten van gebruikers of zelfs app-ontwikkelaars.
De gegevens bieden een inkijkje in de wereld van de webreclame. Vroeger betaalden locatiedatabedrijven app-ontwikkelaars om code op te nemen om de locatiegegevens van hun gebruikers te verzamelen. Veel bedrijven zijn in plaats daarvan overgestapt op het verkrijgen van locatie-informatie via het advertentiesysteem, waarbij bedrijven bieden om advertenties in apps te mogen plaatsen. Dat betekent wel dat gegevenshandelaars kunnen ‘meegenieten’ en de locatie van mobiele telefoons van mensen kunnen verzamelen.
“Dit is een nachtmerriescenario voor de privacy, want dit datalek bevat niet alleen gegevens die afkomstig zijn van de reclamesystemen, maar er is ook een bedrijf dat zich gedraagt als een wereldwijde veelvraat en doet wat het wil met elk gegeven dat op zijn pad komt”, aldus Zach Edwards van het digitale-beveiligingsbedrijf Silent Push.
De lijst bevat koppelstekken als Tinder en Grindr, spellen als Candy Crush, Temple Run, Subway Surfers en Harry Potter: Puzzles & Spells, vervoerstoep Moovit een menstruatieapp met meer dan tienmiljoen gebruikers, populaire sporttoep MyFitnessPal, sociaal netwerk Tumblr, Yahoo’s e-post, Microsoft’s 365 office en vluchtvolger Flightradar24.
De lijst vermeldt ook religieus gerichte toeps, verschillende zwangerschapsappss en veel VPN-toepassingen, die sommige gebruikers, ironisch genoeg, gebruiken om hun privésfeer te beschermen. Vaak stellen de aangesproken bedrijven en appmakers dat ze geen weet hebben van deze manier van datagaring. Sommige zeggen zelfs nog nooit van Gravy gehoor te hebben.
Gravy
Gravy Analytics, tegenwoordig samengegaan met Unacast, is een bedrijf dat een groot deel van de rest van de locatiegegevensbranche op het web zou aandrijven. Het bedrijf verzamelt locatiegegevens van mobiele telefoons uit verschillende bronnen over de hele wereld en verkoopt die vervolgens aan commerciële bedrijven of, via zijn dochteronderneming Venntel, aan Amerikaanse overheidsinstanties. Tot de klanten van Venntel behoorden de Amerikaanse overheidsdiensten als de immigratiedienst, de douane, de FBI en de drugsbestrijding.
BNR meldt dat ruim honderd Nederlandse toepassingen ook locatiegegevens verzamelen die worden doorverkocht, zonder dat de gebruikers daarvan op de hoogte zijn. Het gaan en staan van hun miljoenen gebruikers is zonder hun medeweten te volgen, aldus BNR.
Buienalarm zou daar een van zijn, een toepassing met miljoenen gebruikers. Verder zou My.Games tientallen spellen in omloop brengen die zich van die praktijk bedienen, naast allerlei buitenlandse toeps die veel in Nederland worden gebruikt zoals Tinder en Candy Crush.
Net als in de VS hoeft het ook hier niet zo te zijn dat de toepmakers van deze praktijken op de hoogte zijn, maar dat de bedrijven die reclame maken in die toepassingen maken de boosdoeners zijn. Ook dan, zo schrijft BNR, zijn die toepassingen verantwoordelijk.
Bron: Wired