Androidtoestellen worden vaak geleverd met vooraf geïnstalleerde apps van de fabrikant zelf en andere partijen die een risico kunnen vormen voor de privacy en security van gebruikers. Dat blijkt uit onderzoek naar ruim 1700 Androidtelefoons afkomstig van meer dan 200 leveranciers.
Door de openheid van het Androidplatform kunnen fabrikanten een eigen versie van het besturingssysteem op hun toestellen zetten, bijvoorbeeld aangevuld met allerlei apps. Veel gebruikers zitten niet op deze software te wachten, waardoor vooraf geïnstalleerde apps vaak "bloatware" worden genoemd, aldus de onderzoekers (pdf).
Voor het onderzoek werden 424.000 unieke firmwarebestanden geanalyseerd. Slechts 9 procent van de verzamelde APK-bestanden was ook op Google Play terug te vinden. Vervolgens werd van 139.000 apps, waaronder vooraf geïnstalleerde apps, het verkeer bekeken. Ook werd bijna de helft van de apps in de dataset via statische en dynamische analyse onderzocht.
"Ons onderzoek laat zien dat een groot deel van de vooraf geïnstalleerde software potentieel schadelijk of ongewenst gedrag vertoont. Hoewel het bekend is dat het verzamelen van persoonlijke informatie en het tracken van gebruikers veel voorkomt in het Androidapp-ecosysteem, komt het ook veel voor in vooraf geïnstalleerde apps", aldus de onderzoekers.
In veel gevallen houden apps zich bezig met tracking en het tonen van advertenties, maar bij een aantal toestellen bleek er ook bekende malware geïnstalleerd te zijn. "Dit onderzoek maakt duidelijk dat, mede door de open source aard van het Androidplatform en de complexiteit van de supply chain, organisaties van allerlei soorten en maten de mogelijkheid hebben om hun software aan aangepaste Androidversies toe te voegen", zo concluderen de onderzoekers.
Volgens de onderzoekers vormt deze situatie een gevaar voor de privacy van gebruikers en zelfs hun security, door een misbruik van rechten of als gevolg van slechte software-engineering waardoor kwetsbaarheden en gevaarlijke backdoors worden geïntroduceerd. De onderzoekers pleiten er dan ook voor om het Android-ecosysteem transparanter te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.