man op smartphone

Duizenden Android-applicaties weten welke apps op je smartphone staan

Laatst bijgewerkt: 8 april 2020
Leestijd: 3 minuten, 51 seconden

De meeste applicaties op onze smartphone zijn ongevaarlijk en kunnen we met een gerust hart gebruiken. Dat geldt echter niet voor enkele duizenden Android-apps. Volgens onderzoekers van de Vrije Universiteit Amsterdam, University of L’Aquila en ETH Zürich verzamelen deze apps zonder medeweten van de eigenaar informatie over de apps die gebruikers op hun mobiele telefoon hebben geïnstalleerd. Aan de hand van deze data is het mogelijk om een profiel op te stellen, waardoor onze privacy in het geding is. Het staat allemaal beschreven in het onderzoeksrapport ‘Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User’s Device’.

API

Even snel opzoeken hoe laat de trein vertrekt, wat de snelste route is naar je bestemming of een bosje bloemen bestellen. Apps zijn er in allerlei soorten en maken ons leven makkelijker. Niet voor niets hebben smartphonegebruikers gemiddeld 60 apps op hun telefoon staan. En de meeste apps ‘praten’ met elkaar met programma’s die API’s worden genoemd.

Wat een Application Programming Interface of API is, is het makkelijkst uit te leggen aan de hand van een metafoor. Stel, je zit in een restaurant en wil eten bestellen. Jouw bestelling moet dan bij de kok in de keuken terecht komen, die het gerecht voor jou klaarmaakt. Je hebt dan een lijntje nodig om tussen jou en te keuken te communiceren. In dit geval is dat de ober, oftewel de API. Apps werken op dezelfde manier. Als je een review hebt gelezen over een restaurant en het adres wil doorgeven aan een navigatie-app, dan moet er tussen beide apps gecommuniceerd worden. Dat gebeurt met een API.

Kort samengevat staan API’s verkeer toe tussen ontwikkelaars van verschillende apps om een betere gebruikservaring te bieden. Gebruikers hebben hier vaak geen notie daarvan: ze hoeven hiervoor immers geen expliciete toestemming te geven en ze worden ook niet actief hierover geïnformeerd. Apps ‘praten’ met elkaar om gegevens uit te wisselen en dat is voor de meesten voldoende. Anderen zijn hier minder op gebrand en vrezen dat hun privacy in het geding is.

Onderzoeksresultaten

Dat gebruikers niet op de hoogte zijn van het bestaan en werking van API’s, noemen de onderzoekers Installed Application Methods, of kortweg IAM. In hun paper stellen ze dat er tot op heden geen empirisch onderzoek was verricht hoe Android-ontwikkelaars IAM inzetten om informatie te vergaren over gebruikers. Deze leemte willen de onderzoekers opvullen. Zij onderzochten 14.342 Android-apps die gratis te downloaden zijn in de Google Play Store en 7.886 zogeheten open-source Android-applicaties (apps die je buiten de Play Store om kunt installeren op je smartphone).

Uit de studie blijkt dat de inzet van IAM bij commerciële apps best veel voorkomt. Drie op de tien apps in deze categorie (30 procent) zet IAM in om informatie te verzamelen over hun gebruikers. ‘Commerciële apps’ is een brede categorie waar onder anderen games, auto’s en evenementen onder vallen. Bij open-source applicaties ligt dat aandeel aanzienlijk lager, namelijk 2,89 procent.

De onderzoekers hebben uiteraard gekeken welke informatie ontwikkelaars verzamelen met IAM. Zowel de apps uit de Google Play Store als de open-source applicaties verzamelen op grote schaal datapakketten die gelabeld zijn onder de noemer packageName. Dat houdt in dat apps gegevens doorsturen over welke apps iemand op zijn of haar smartphone heeft geïnstalleerd. Bijna de helft van alle onderzochte apps in beide categorieën verzamelt heimelijk deze informatie. Andere variabelen die doorgaans worden doorgestuurd zijn data waarop apps zijn geïnstalleerd, de app-versies en wanneer iemand apps voor het laatst geüpdatet heeft.

Niet op de hoogte

De onderzoekers keken niet alleen naar ruim 14.000 apps, maar stuurden tevens vragenlijsten naar Android-ontwikkelaars. Op deze manier wilden ze in kaart brengen in hoeverre ontwikkelaars bewust persoonlijke gegevens verzamelen via IAM. In totaal ontvingen de onderzoekers 70 volledig en correct ingevulde vragenlijsten. Daaruit blijkt dat de meeste ontwikkelaars niet altijd op de hoogte zijn van dataverzamelingspraktijken. De code die hiervoor wordt gebruikt is veelal afkomstig van software libraries en API’s van derde partijen, zoals adverteerders. Het ligt dan ook voor de hand dat deze data gebruikt wordt om profielen op te stellen.

In hun paper stellen de onderzoekers dat een aantal aanpassingen van het Android-platform op zijn plaats is. Gebruikers moeten voordat ze een app installeren duidelijk gewaarschuwd worden dat gegevens worden verzameld voor profilering. Ze moeten hiermee dan instemmen als ze de app willen gebruiken. Weigeren van deze toestemming zou eveneens een optie moeten zijn. Of Google deze voorstellen op korte termijn gaat implementeren is nog maar de vraag. De zoekgigant bestempelt deze data immers niet als gevoelig, waardoor ze buiten het in 2015 geïntroduceerde permissiesysteem vallen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen