android
Systeem-apps – die standaard op uw smartphone worden geïnstalleerd en meestal niet kunnen worden verwijderd – blijven meestal uit de schijnwerpers. Maar terwijl gebruikers bij andere apps en diensten ten minste enige keuze hebben, zijn in dit geval de tracking- en surveillancemogelijkheden als het ware in het weefsel van de apparaten zelf genaaid.
Het bovenstaande zijn enkele conclusies van een recent gezamenlijk onderzoek van onderzoekers van de University of Edinburgh (VK) en het Trinity College Dublin (Ierland). Zij onderzochten smartphones van vier bekende leveranciers om na te gaan hoeveel informatie zij doorgeven. Als referentiepunt vergeleken zij de resultaten met open-source besturingssystemen op basis van Android, LineageOS en /e/OS. Hier leest u hun bevindingen.
Onderzoeksmethode
Om het experiment zuiver te houden, stelden de onderzoekers een vrij strikt besturingsscenario in voor de vier smartphones. Dit was een scenario waarmee gebruikers in het echte leven waarschijnlijk nooit te maken zullen krijgen: Ze gingen ervan uit dat elke smartphone alleen zou worden gebruikt voor bellen en sms’en; de onderzoekers voegden geen apps toe; alleen de door de fabrikant geïnstalleerde apps bleven op de apparaten staan.
Bovendien antwoordde de denkbeeldige gebruiker ontkennend op alle vragen van het type “Wilt u de service verbeteren door gegevens door te sturen”, die gebruikers gewoonlijk moeten beantwoorden wanneer zij het apparaat voor het eerst aanzetten. Ze hebben geen optionele diensten van de fabrikant geactiveerd, zoals cloudopslag of Zoek mijn apparaat. Met andere woorden: ze hielden de smartphones gedurende het onderzoek zo privé mogelijk en in een zo ongerept mogelijke staat.
De basic “spionage-tracking”-technologie is hetzelfde in al dit onderzoek. De smartphone maakt verbinding met een Raspberry Pi-minicomputer, die als wifi-toegangspunt fungeert. Op de Raspberry Pi geïnstalleerde software onderschept en decodeert de gegevensstroom van de telefoon. De gegevens worden vervolgens opnieuw versleuteld en afgeleverd bij de ontvanger – de ontwikkelaar van de telefoon, app of het besturingssysteem. In wezen voerden de auteurs van het artikel een (goedaardige) man-in-the-middle-aanval uit.
De in het onderzoek gebruikte methode om door smartphones verzonden gegevens te onderscheppen. Source
Het goede nieuws is dat alle verzonden gegevens versleuteld waren. De industrie lijkt eindelijk de strijd te hebben gewonnen tegen apparaten, programma’s en servers die in duidelijke tekst communiceren, zonder enige bescherming. De onderzoekers hebben veel tijd en moeite gestoken in het ontcijferen en analyseren van de gegevens om erachter te komen wat er precies werd verzonden.
Daarna ging het de onderzoekers relatief gemakkelijk af. Ze hebben de gegevens op elk apparaat volledig gewist en de initiële installatie uitgevoerd. Vervolgens lieten ze, zonder in te loggen op een Google-account, elke smartphone een paar dagen aanstaan en volgden ze de gegevensoverdracht ervan. Vervolgens logden ze in met gebruik van een Google-account, schakelden tijdelijk de geolocatie in en gingen naar de instellingen van de telefoon. In elk stadium controleerden ze welke gegevens werden verzonden en waarheen. Zij testten in totaal zes smartphones: vier met de firmware van de fabrikant en twee met de open-source versies van Android LineageOS en /e/OS.
Wie verzamelt de gegevens?
Tot niemands verrassing ontdekten de onderzoekers dat smartphone-makers de voornaamste verzamelaars waren. Alle vier apparaten met de oorspronkelijke firmware (en een reeks vooraf geïnstalleerde programma’s) stuurden telemetriegegevens, samen met persistent identifiers zoals het serienummer van het apparaat, door naar de fabrikant. Hier maken de auteurs een onderscheid tussen de standaard firmware en de op maat gemaakte builds.
LineageOS heeft bijvoorbeeld een optie om gegevens naar ontwikkelaars te sturen (bijvoorbeeld om de operationele stabiliteit van programma’s te controleren), maar het uitschakelen van de optie stopt de gegevensoverdracht. Op fabrieksstandaardapparaten kan het blokkeren van het verzenden van gegevens tijdens de eerste installatie inderdaad de hoeveelheid verzonden gegevens verminderen, maar het sluit het verzenden van gegevens niet volledig uit.
De volgende die gegevens mogen ontvangen zijn de ontwikkelaars van vooraf geïnstalleerde apps. Ook hier zien we een interessante nuance: volgens de regels van Google moeten apps die via Google Play worden geïnstalleerd een bepaalde identificatiecode gebruiken om gebruikersactiviteiten te volgen: het Advertising ID van Google. Ik kunt dit ID als u wilt in de telefooninstellingen wijzigen. De eis geldt echter niet voor apps die de fabrikant vooraf installeert en die gebruikmaken van persistent identifiers om veel gegevens te verzamelen.
Zo zendt een vooraf geïnstalleerde app voor sociale netwerken bijvoorbeeld gegevens over de eigenaar van de telefoon naar zijn eigen servers, zelfs als die eigenaar de app nooit heeft geopend. Een interessanter voorbeeld: het systeemtoetsenbord op één smartphone stuurde gegevens door over welke apps op de telefoon werden uitgevoerd. Verscheidene apparaten werden ook geleverd met apps van de exploitant die ook gebruikersgerelateerde informatie verzamelden.
Tenslotte verdienen de Google-systeem-apps een aparte vermelding. De meeste telefoons worden geleverd met Google Play Services en de Google Play Store, en meestal zijn YouTube, Gmail, Maps en nog een paar andere zaken al geïnstalleerd. De onderzoekers merken op dat Google-apps en -diensten veel meer gegevens verzamelen dan welk ander vooraf geïnstalleerd programma dan ook. De onderstaande grafiek toont de verhouding van de gegevens die naar Google (links) en naar alle andere ontvangers van telemetrie (rechts) zijn verzonden:
Hoeveelheid verzonden gegevens in kilobytes per uur aan verschillende ontvangers van gebruikersinformatie. Gemiddeld verstuurt Google (links) tientallen malen meer gegevens dan alle andere diensten samen. Source
Welke gegevens worden er verzonden?
In dit deel richten de onderzoekers zich opnieuw op identifiers. Alle gegevens hebben een soort unieke code om de afzender te identificeren. Soms gaat het om een eenmalige code, wat voor de privacy de juiste manier is om de statistieken te verzamelen (bijvoorbeeld over de operationele stabiliteit van het systeem) die ontwikkelaars nuttig vinden.
Maar er worden ook langetermijn- en zelfs persistent identifiers verzameld die de privacy van de gebruiker schenden. Zo kunnen eigenaars het bovengenoemde Google Advertising ID handmatig wijzigen, maar slechts weinigen doen dat, zodat we de identificatiecode, die zowel naar Google als naar de fabrikanten van de apparaten wordt gestuurd, als bijna persistent kunnen beschouwen.
Het serienummer van het toestel, de IMEI-code van de radiomodule en het nummer van de simkaart zijn persistent identifiers. Met het serienummer van het apparaat en de IMEI-code is het mogelijk de gebruiker te identificeren, zelfs na een wijziging van het telefoonnummer en een volledige reset van het toestel.
De regelmatige overdracht van informatie over het model van het apparaat, de grootte van het scherm en de firmwareversie van de radiomodule is minder riskant uit het oogpunt van de privacy; die gegevens zijn hetzelfde voor een groot aantal bezitters van hetzelfde telefoonmodel. Maar gegevens over gebruikersactiviteiten in bepaalde apps kunnen wel veel over de eigenaars onthullen. De onderzoekers hebben het hier over de dunne lijn tussen gegevens die nodig zijn voor het debuggen van apps en informatie die kan worden gebruikt om een gedetailleerd gebruikersprofiel op te stellen, bijvoorbeeld voor gerichte advertenties.
Zo kan het voor de ontwikkelaar belangrijk zijn om te weten dat een app de batterij leegmaakt, wat uiteindelijk de gebruiker ten goede komt. Gegevens over welke versies van systeemprogramma’s zijn geïnstalleerd kunnen bepalen wanneer er een update moet worden gedownload, wat ook nuttig is. Maar of het verzamelen van informatie over de exacte begin- en eindtijden van telefoongesprekken zinvol is, of zelfs ethisch verantwoord, blijft de vraag.
Een ander type gebruikersgegevens dat vaak wordt gemeld, is de lijst van geïnstalleerde apps. Die lijst kan veel zeggen over de gebruiker, waaronder bijvoorbeeld politieke en religieuze voorkeuren.
Het combineren van gebruikersgegevens van verschillende bronnen
Ondanks hun grondige werk konden de onderzoekers geen volledig beeld krijgen van de wijze waarop de verschillende telefoon- en softwareleveranciers gebruikersgegevens verzamelen en verwerken. Er moesten een aantal aannames worden gedaan.
Aanname één: Smartphone-fabrikanten die persistent identifiers verzamelen, kunnen de activiteiten van de gebruiker volgen, zelfs als de gebruiker alle gegevens van de telefoon wist en de simkaart vervangt.
Aanname twee: Alle marktdeelnemers kunnen gegevens uitwisselen en, door het combineren van persistent en tijdelijke identifiers, plus verschillende soorten telemetrie, een zo volledig mogelijk beeld creëren van de gewoonten en voorkeuren van gebruikers. Hoe dit in de praktijk in zijn werk gaat – en of ontwikkelaars daadwerkelijk gegevens uitwisselen, of deze verkopen aan derden – valt buiten het bereik van het onderzoek.
De onderzoekers speculeren over de mogelijkheid om datasets te combineren en zo een volledig profiel van de smartphonebezitter te creëren (gaid staat voor Google Advertising ID). Source
Bevindingen
De nominale winnaar op het gebied van privacy bleek de telefoon met de Android-variant /e/OS te zijn, die zijn eigen analoog van Google Play Services gebruikt en helemaal geen gegevens doorgaf. De andere telefoon met open-source firmware (LineageOS) stuurde de informatie niet naar de ontwikkelaars, maar naar Google, omdat de diensten van Google op die telefoon waren geïnstalleerd. Deze diensten zijn nodig om het apparaat goed te laten werken – sommige apps en veel functies werken gewoon niet of slecht zonder Google Play Services.
Wat de propriëtaire firmware van populaire fabrikanten betreft, is er weinig dat hen onderscheidt. Ze verzamelen allemaal een vrij grote hoeveelheid gegevens, waarbij ze de zorg voor de gebruiker hierbij als reden aanvoeren. Ze negeren in wezen de opt-out van gebruikers voor het verzamelen en verzenden van “gebruiksgegevens”, zo merken de auteurs op. Alleen meer regelgeving om de privacy van de consument te waarborgen kan verandering in die situatie brengen, en voorlopig kunnen alleen geavanceerde gebruikers die een niet-standaard besturingssysteem kunnen installeren (met beperkingen op het gebruik van populaire software) de telemetrie volledig uitschakelen.
Wat de veiligheid betreft, lijkt het verzamelen van telemetriegegevens geen directe risico’s op te leveren. De situatie is radicaal anders dan bij smartphones van de derde generatie, waarop malware rechtstreeks in de fabriek kan worden geïnstalleerd.
Het goede nieuws van de studie is dat de gegevensoverdracht vrij veilig is, wat het voor buitenstaanders in ieder geval moeilijk maakt om toegang te krijgen. De onderzoekers hebben wel een belangrijk voorbehoud gemaakt: ze testten Europese smartphone-modellen met gelokaliseerde software. Elders kan de situatie, afhankelijk van de wetgeving en privacyvoorschriften, anders zijn.
Tips