Duizenden Android-apps verzamelen zonder toestemming en medeweten van gebruikers informatie over alle geïnstalleerde apps op het toestel. Met de data kunnen ontwikkelaars en adverteerders allerlei profielen over gebruikers opstellen. Dat blijkt uit het onderzoek "Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User’s Device" van onderzoekers aan de Vrije Universiteit Amsterdam, de Universiteit van L’Aquila en ETH Zürich (pdf).
Voor het onderzoek werden 14.300 gratis Android-apps in de Google Play Store en bijna 7900 open source Android-apps geanalyseerd. De onderzoekers keken specifiek of de apps bepaalde programmeerinterfaces, installed application methods (IAMs), gebruiken waarmee al geïnstalleerde apps op het toestel zijn op te vragen. Het gaat naast naam om zaken als het moment van installatie, laatste update en nog tientallen andere datapunten. Het oorspronkelijke doel hiervan is app-interoperabiliteit, maar in de praktijk blijkt dat niet altijd het geval te zijn.
Volgens de onderzoekers is het bekend dat informatie die via IAMs kan worden verkregen is te gebruiken om interesses en persoonlijke kenmerken van gebruikers af te leiden, waarmee dit een privacyprobleem is. De programmeerinterfaces zijn echter niet door Google als gevoelig bestempeld, waardoor het gebruik ervan niet voor gebruikers zichtbaar is. Zo is het bijvoorbeeld niet nodig om bepaalde permissies te vragen en is het ook niet vereist om gebruikers te informeren.
Van de 14.300 onderzochte apps uit de Google Play Store bleken er 4200 gebruik van IAMs te maken, wat iets meer dan 30 procent is. Het gebruik verschilt echter per categorie. Van de onderzochte spelletjes maakte meer dan 70 procent gebruik van IAMs. Bij open source apps ligt het gebruik veel lager. Van de bijna 7900 onderzochte open source apps maakten er 228 gebruik van IAMs, wat neerkomt op een gemiddelde van 3 procent.
In de meeste gevallen blijkt dat de code die voor het gebruik van IAMs verantwoordelijk is, afkomstig is van derde partijen. Ontwikkelaars zijn hiervan ook niet altijd op de hoogte. Het gaat dan met name om adverteerders. De onderzoekers nemen aan dat de verzamelde data wordt gebruikt voor het profileren van gebruikers. Ze stellen dan ook verschillende aanpassingen aan het Androidplatform voor. Zo zouden gebruikers moeten worden gewaarschuwd en toestemming moeten geven, net als bij andere permissies. Ook zouden gebruikers de toestemming moeten kunnen weigeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.