‘Meer dan 1000 apps verzamelen gegevens zonder je toestemming’
Thomas Haenen

Beveiligingsonderzoekers hebben ontdekt dat ruim duizend populaire Android-apps in het geniep gegevens over je locatie, bestanden en meer verzamelen, zelfs als je daar geen toestemming voor hebt gegeven.

Hoe sommige Android-apps machtigingen omzeilen

Als je een Android-app na installatie voor de eerste keer opent, worden er meestal om verschillende machtigingen gevraagd. Een muziek-app wil bijvoorbeeld toegang tot je opslagruimte om muziek op te slaan, terwijl een navigatiedienst je locatie nodig heeft. Weiger je die permissies, dan wordt de gevraagde informatie in theorie niet gedeeld maar werkt de app meestal ook minder goed. Nu blijkt echter dat veel apps de machtigingen omzeilen en toch je data proberen te bemachtigen.

Ruim 1300 Android-apps zoeken naar een andere manier om je data te schrapen als je de machtigingen weigert, zo ontdekten beveiligingsonderzoekers van het International Computer Science Institute. Zij keken naar meer dan 88.000 populaire Android-apps van de Play Store en ontdekten ruim duizend kwalijke apps. Zij verzamelen onder andere informatie over je locatie en je IMEI-nummer, zelfs zonder toestemming.

android app-machtigingen

Graven in foto’s en andere apps

Als voorbeeld noemen de onderzoekers Shutterfly, een foto-app. Geef je die app geen toestemming om je locatie te bepalen, dan graaft de app in de EXIF-gegevens van foto’s die je eerder hebt gemaakt. Op basis van de gps-data in je oude foto’s verzamelt Shutterfly alsnog je locatiegegevens, die worden doorgestuurd naar de servers van de ontwikkelaars.

Andere apps, waaronder enkele van Disney en het Chinese zoekbedrijf Baidu, gebruiken advertentienetwerken om meer data te verzamelen. Geef je in één app toestemming om locatiegegevens en andere persoonlijke data te delen, dan worden die gegevens gekoppeld aan een unieke ID-code in de advertenties in die app. Gebruikt een andere app hetzelfde advertentienetwerk, dan weet de ontwikkelaar dat de gegevens van de ene app passen bij de gebruiker van de andere applicatie, zelfs als je met de nieuwere app geen machtigingen vrijgeeft.

In de lijst die de beveiligingsonderzoekers deelden staan ook enkele apps van Samsung, waaronder de browser die het bedrijf meelevert met vrijwel al zijn smartphones. Ook deze app kan in theorie advertentienetwerken gebruiken om meer data uit te lezen. Het is echter onbekend of deze en andere apps dat ook echt doen, of dat de ontwikkelaars alleen de optie open houden maar het (nog) niet doen.

Google werkt aan een oplossing

Volgens de beveiligingsonderzoekers is Google op de hoogte van de kwetsbaarheden, maar het bedrijf wil niet direct reageren op de nieuwe lekken. Wel zouden er in Android Q verschillende verbeteringen zitten die het moeilijker of onmogelijk maken voor apps om zomaar je locatie uit te lezen. Deze volgende versie van Android is waarschijnlijk vanaf augustus beschikbaar voor fabrikanten, en rolt daarna geleidelijk uit naar andere smartphones.

In Android Q kunnen foto-apps niet langer de geolocatie van eerder gemaakte foto’s uitlezen, tenzij jij daar als gebruiker expliciete toestemming voor geeft. Ook moeten ontwikkelaars straks aangeven of ze locatiedata op deze wijze proberen uit te lezen als ze hun app aanmelden voor de Play Store.

Beter beschermd blijven? Let hier op bij het instellen van je Android app-machtigingen. Lees onderstaande artikelen over het beveiligingen van je Android-smartphone om je gegevens goed af te schermen.

Lees meer over de beveiliging van je smartphone

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.