Meer dan 1300 Android-apps slaan gebruikersdata op zonder toestemming

Ruim 1300 Android-apps slaan gebruikersdata op zonder dat daarvoor toestemming is gegeven. Dat zeggen onderzoekers van het International Computer Science Institute (ICSI) in Berkeley. Het zou gaan om een groot aantal apps dat permissies omzeilt om zo zonder toestemming gegevens over bijvoorbeeld je locatie te achterhalen.

De onderzoekers maken geen volledige lijst bekend waarop staat om welke apps het gaat. Wel noemt het een aantal voorbeelden. Van de 88 duizend onderzochte apps gaat het nu om 1325 applicaties, waartussen ook populaire namen zitten. Zowel de Amerikaanse FTC als Google zijn op de hoogte, maar volgens Google komt er pas een oplossing met Android Q.

Permissies omzeilen

Op verschillende manieren achterhalen apps data die ze volgens permissies niet mogen lezen. Zo zou fotobewerkingsapp Shutterfly de locatie-data uit de exif-informatie van foto's halen en uploaden naar eigen servers, ondanks dat er geen toestemming is gegeven om de locatie in te zien. Daarnaast wordt het voorbeeld genoemd van een afstandsbediening-app die via het mac-adres van de router en bekende netwerken de locatie achterhaalt.

Een andere manier is de permissies van andere apps misbruiken om data te scannen, vervolgens op te slaan op een onbeveiligde sd-kaart en zo alsnog beschikbaar te maken voor een andere app. Dertien apps zouden dit doen, waaronder de applicatie van Baidu voor Disneyland in Hong Kong. Samen waren deze apps goed voor 17 miljoen installaties. Tegelijk hadden 153 apps de mogelijkheid om ditzelfde te doen, waaronder standaard meegeleverde apps van Samsung die op meer dan een half miljard apparaten staan.


Een app die vraagt om permissie in Android.

Android Q belooft beterschap

Dat de permissies op deze manier omzeild kunnen worden is te wijten aan een niet waterdichte beveiliging in Android, maar bijvoorbeeld ook aan het gebrek aan voorlichting voor gebruikers. Lang niet iedereen is er immers van op de hoogte dat locatie-informatie via foto's of een lijst van bekende netwerken achterhaald kan worden. Ze zijn er dus ook niet van op de hoogte dat ze zoveel data prijsgeven door een app foto's te laten inzien.

Google zegt dat de controle over je data verbetert met Android Q. Zo kunnen apps bijvoorbeeld niet standaard meer de exif-informatie in foto's uitlezen. Tegelijk heeft het een belangrijke beveligingsfeature uitgesteld naar Android R - Scoped Storage.

Pas in augustus, op de Usenix Security-conferentie, wordt een lijst bekendgemaakt van alle apps die ongewild gegevens opslaan. Het volledige onderzoek is hier te lezen in pdf-formaat.


Zo kan app B toch bij de data komen via app A.

Bronnen: CNet, ICSI (PDF)

0