Duizenden Android-apps verzamelen data over geïnstalleerde apps
Duizenden Android-apps verzamelen zonder toestemming en medeweten van gebruikers informatie over alle geïnstalleerde apps op het toestel. Met de data kunnen ontwikkelaars en adverteerders allerlei profielen over gebruikers opstellen. Dat blijkt uit het onderzoek "Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User’s Device" van onderzoekers aan de Vrije Universiteit Amsterdam, de Universiteit van L’Aquila en ETH Zürich (pdf).
Voor het onderzoek werden 14.300 gratis Android-apps in de Google Play Store en bijna 7900 open source Android-apps geanalyseerd. De onderzoekers keken specifiek of de apps bepaalde programmeerinterfaces, installed application methods (IAMs), gebruiken waarmee al geïnstalleerde apps op het toestel zijn op te vragen. Het gaat naast naam om zaken als het moment van installatie, laatste update en nog tientallen andere datapunten. Het oorspronkelijke doel hiervan is app-interoperabiliteit, maar in de praktijk blijkt dat niet altijd het geval te zijn.
Volgens de onderzoekers is het bekend dat informatie die via IAMs kan worden verkregen is te gebruiken om interesses en persoonlijke kenmerken van gebruikers af te leiden, waarmee dit een privacyprobleem is. De programmeerinterfaces zijn echter niet door Google als gevoelig bestempeld, waardoor het gebruik ervan niet voor gebruikers zichtbaar is. Zo is het bijvoorbeeld niet nodig om bepaalde permissies te vragen en is het ook niet vereist om gebruikers te informeren.
Van de 14.300 onderzochte apps uit de Google Play Store bleken er 4200 gebruik van IAMs te maken, wat iets meer dan 30 procent is. Het gebruik verschilt echter per categorie. Van de onderzochte spelletjes maakte meer dan 70 procent gebruik van IAMs. Bij open source apps ligt het gebruik veel lager. Van de bijna 7900 onderzochte open source apps maakten er 228 gebruik van IAMs, wat neerkomt op een gemiddelde van 3 procent.
In de meeste gevallen blijkt dat de code die voor het gebruik van IAMs verantwoordelijk is, afkomstig is van derde partijen. Ontwikkelaars zijn hiervan ook niet altijd op de hoogte. Het gaat dan met name om adverteerders. De onderzoekers nemen aan dat de verzamelde data wordt gebruikt voor het profileren van gebruikers. Ze stellen dan ook verschillende aanpassingen aan het Androidplatform voor. Zo zouden gebruikers moeten worden gewaarschuwd en toestemming moeten geven, net als bij andere permissies. Ook zouden gebruikers de toestemming moeten kunnen weigeren.
Ik geloof niet zo in de complot-achtige manier waarop je het omschrijft. Ik denk niet dat er een soort x-files-achtige groepering is die in een vergadering besloten heeft dat Windows phone kapot moet, en dat iedereen Android moet hebben zodat we marketing-informatie kunnen verzamelen over gebruikers. Het is, kortom, geen van boven opgelegde dwang, eerder een onvermijdelijk gevolg van de omstandigheden.
Ten eerste was Android eerder, dus die had al een aanzienlijke installed-base. Dat betekent dat het een grote, bestaande markt is van gebruikers die over zo'n device beschikken, en die opgenomen zijn in het hele google "ecosysteem", ze hebben al de play-store met een account, in veel gevallen al een credit-card of zo gekoppeld, plus de andere diensten van Google die zaken als inloggen, synchroniseren, bewaren van scores en voortgang e.d. eenvoudig maken. Het was dus voor app-ontwikkelaars veen eenvoudiger om op dat platform een app te maken waarmee ze geld konden verdienen, en hoe goed de bedoelingen ook moge zijn, die app-ontwikkelaars willen ook graag een inkomen hebben.
Daarbij komt dat, zeker in het begin (er komt langzaam verandering in, maar die is nog niet heel wijdverspreid, zeker niet als je eens buiten je eigen bubble gaat kijken) helemaal geen vraag was van gebruikers om een platform te hebben waarop die privileges goed gescheiden waren en waarmee je kon voorkomen dat je informatie gedeeld werd. Voor de grote bulk van de gebruikers is dit nog steeds niet het geval. Het is misschien een beetje cru, maar "wij" hier als security-bewuste tech-savvy gebruikers zijn niet de grote bulk, nog de meest interessante doelgroep. Tieners die zonder probleem euro's betalen voor andere "skins" of cosmetische items in "gratis" games zijn de interessante doelgroep, want zoals gezegd, ook bij die app-ontwikkelaars gaat alleen de zon voor niets op.
Het is het verdienmodel namelijk van dit beestje en de developers van apps uit de Google of Aptoide store.
Scan uw apps eens met Ad Detector op AdMob en MoPub etc. Schrik niet.
Je ziet dan apps die identiteitsinfo lekken Google en browsers bijvoorbeeld.
Die locatiegegevens verzamelen via AdMob, Amazon, Appboy (Opera), MoPub (Aptoide), MillenialMedia (vertaalapps) etc.
Die push notificatie advertenties tonen, browser homepage, bookmarks, SMS sturen, enz. tot het downloaden van files toe.
Daarom heb ik blokada geinstalleerd via een lokaal adres. I
k zie ook omdat ik Brave daarnaast gebruik vrijwel geen advertenties meer.
Heerlijk rustig op je Androidje en voor het echte browsen fire onion tor.
Maar Android is en blijft een veredeld tracking device. Laat 'm dan ook eens wat vaker thuis,
of steek 'm in je zak als je toch perse je coronavrus-distancing locatie door wilt geven.
Wij houden u in de gaten en voor niets gaat de zon op (of hangen ze er toch later nog een gordijn voor?).
luntrus
Wat een bullshit argument!
Hoeveel keus heb je als consument? Apple, Android en LineageOS. Misschien nog iets, maar dat ligt dan nog verder in de lijn.
Dus je wilt nu beweren, dat we naar een Apple moeten gaan? Apple verzameld en verkoopt helemaal geen gegevens wilde je zeggen?
Dan moet je lekker geen toestel nemen of terug gaan naar een standaard GSM.
Als iets gratis, dan ben jij het product. Dat is overal zo en dat is bij Apple apps niet anders.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
