Onderzoekers hebben honderden Android-apps ontdekt die het permissiesysteem omzeilen om zo zonder toestemming toegang tot gegevens van gebruikers te krijgen. Via het permissiesysteem kunnen gebruikers aangeven of een app toegang tot locatiegegevens, de camera of andere zaken mag.

Er zijn echter verschillende "covert en side channels" waardoor apps toch toegang tot beveiligde data kunnen krijgen. Via de side channels in de implementatie van het permissiesysteem kunnen apps zonder permissie toegang tot beschermde data en systeemmiddelen krijgen. Covert channels maken communicatie tussen samenwerkende apps mogelijk, waarbij de ene app de permissies die het heeft met de andere app kan delen die hier niet over beschikt. "Beide vormen een bedreiging voor de privacy van gebruikers", aldus de onderzoekers van de University of Calgary, Universiteit van Madrid en U.C. Berkeley (pdf).

Voor het onderzoek werden 88.000 apps geanalyseerd. De onderzoekers vonden vijf apps die via de ARP-cache het mac-adres van de aangesloten wifi-router verzamelden. Dit is als surrogaat voor locatiedata te gebruiken, aldus de onderzoekers. 42 apps bleken via bepaalde system calls het mac-adres van de telefoon op te vragen. Daarnaast bleken ruim 12.000 apps hiertoe in staat zijn, maar maakten hier nog geen misbruik van.

Er werden ook twee libraries van de Chinese bedrijven Baidu en Salmonads aangetroffen die de sd-kaart van de telefoon als covert channel gebruiken. Een app die het IMEI van de telefoon mag uitlezen slaat het op de sd-kaart op, zodat apps die het IMEI niet mogen uitlezen er op deze manier toegang toe kunnen krijgen. 159 apps bleken hiertoe in staat te zijn en dertien apps deden het ook. Tevens werd er een app aangetroffen die de metadata van foto's gebruikt om de locatie van de gebruiker te bepalen, ook al had de app geen locatiepermissie.

Privacy als luxe goed

De onderzoekers waarschuwden Google dat hen voor hun werk beloonde. Het techbedrijf zal veel van de gevonden problemen met het omzeilen van het permissiesysteem in Android Q verhelpen. Dit houdt in dat de oplossing alleen beschikbaar komt voor gebruikers die straks naar de nieuwe Androidversie kunnen upgraden. Iets wat voor veel gebruikers niet het geval zal zijn.

"Dit positioneert privacy als een luxe goed, wat in strijd is met Googles eigen aankondigingen. In plaats daarvan zouden ze privacylekken op dezelfde manier moeten behandelen als beveiligingslekken en patches voor alle ondersteunde Androidversies moeten uitbrengen", aldus de onderzoekers. Die vinden verder dat beleidsmakers en platformproviders betere tools nodig hebben om het gedrag van apps te monitoren en app-ontwikkelaars aansprakelijk te stellen dat hun apps zich aan de wet houden.