Ontdekken welke gegevens apps echt verzamelen

november 6, 2019

De meeste apps verzamelen bepaalde informatie over de gebruiker, en soms zijn die gegevens ook echt nodig om te kunnen functioneren: voor een navigatie-app is het bijvoorbeeld nodig om uw locatie te bepalen om de juiste route te berekenen. Ontwikkelaars gebruiken vaak informatie over u om hun dienst te verbeteren of er geld mee te verdienen, en dat zonder voorafgaande Ze kunnen bijvoorbeeld anonieme statistieken verzamelen om knelpunten in hun app te vinden en om erachter te komen hoe die app beter ontwikkeld moet worden.

Maar sommige ontwikkelaars maken misbruik van uw vertrouwen door stiekem informatie te verzamelen die niets te maken heeft met de functionaliteit van de app, en verkopen deze gegevens vervolgens door aan derden. Gelukkig kunt u een aantal diensten gebruiken om meer openheid over zulke apps te krijgen.

AppCensus

De dienst AppCensus helpt u om erachter te komen welke persoonlijke gegevens apps verzamelen en waar die naartoe worden verzonden. Deze dienst maakt gebruik van de dynamische analyse-methode: de app is geïnstalleerd op een echt mobiel apparaat, heeft alle vereiste machtigingen gekregen, en wordt gedurende een bepaalde tijd actief gebruikt. Ondertussen houdt de dienst de app in de gaten om te kijken welke gegevens er worden verstuurd, naar wie, en of deze gegevens zijn versleuteld.

Dit biedt inzicht in het daadwerkelijke gedrag van de app. Als u zich ongemakkelijk voelt bij de informatie die AppCensus u verstrekt, kunt u het gebruik van die bepaalde app vermijden en naar een alternatief op zoek gaan dat zich niet met van alles en nog wat bemoeit. Maar de informatie die AppCensus heeft verzameld kan onvolledig zijn; elke app wordt namelijk maar gedurende beperkte tijd getest, en bij sommige features van de app kan het even duren voordat ze geactiveerd worden. Plus: AppCensus analyseert alleen Android-apps — en alleen apps die gratis en openbaar zijn.

Exodus Privacy

In tegenstelling tot AppCensus, bestudeert Exodus Privacy de apps zelf, en niet hun gedrag. Deze dienst analyseert de machtigingen die een app aanvraagt, en het zoekt tevens naar ingebouwde trackers — modules van derden die zijn gemaakt om informatie over u en uw handelingen te verzamelen. Ontwikkelaars rusten hun apps vaak met trackers uit die worden verstrekt door advertentienetwerken, en die zijn gemaakt om zo veel mogelijk over u te weten te komen, met als doel om gepersonaliseerde ads te kunnen aanbieden. Op dit moment herkent Exodus Privacy meer dan 200 types van zulke trackers.

Over machtigingen gesproken: Exodus Privacy analyseert ze met het oog op het gevaar dat ze voor u en uw gegevens vormen. Als een app machtiging vraagt die uw privacy in het geding kan brengen of de beveiliging van het apparaat kan verstoren, wordt dit aan de gebruiker gemeld. Als u denkt dat een app bepaalde potentieel gevaarlijke machtigingen niet nodig heeft, is het beter om die ook niet te verlenen. U kunt dat altijd nog later aanpassen.

De kleine geheimen van apps

Beide diensten zijn erg eenvoudig te gebruiken. Een simpele zoekopdracht naar de naam van de app levert genoeg informatie op over welke gegevens er worden verzameld en waar die naartoe gaan. In tegenstelling tot AppCensus, stelt Exodus gebruikers niet alleen in staat om apps uit een lijst te kiezen, maar ook om het tabblad Nieuwe analyse te gebruiken om apps van Google Play toe te voegen voor een analyse.

Om een voorbeeld te geven hebben we naar een selfie-camera-app gekeken die 5 miljoen keer gedownload is op Google Play. Exodus Privacy laat zien dat de app vier ad-trackers gebruikt en niet alleen toegang tot uw camera vereist, maar ook tot de locatie van uw apparaat, wat niet nodig is voor het functioneren van de app (in theorie kan de locatie van het apparaat worden gebruikt voor een goed doeleinde — om geotags aan EXIFs of de foto’s die worden gemaakt toe te voegen), evenals toegang tot uw telefoon- en belgegevens, wat absoluut niet nodig is voor dit soort apps.

Uitroeptekens geven potentieel gevaarlijke machtigingen aan: toegang tot ingebouwde camera en geheugen, logisch voor de app, en de dubieuze toegang tot locatiegegevens en telefooninformatie

Dezelfde app-analyse door AppCensus doet de zorgen toenemen: volgens de dienst krijgt de selfie-camera niet alleen toegang tot de locatie van uw telefoon of tablet, maar verstuurt hij die ook, samen met het IMEI-nummer (het unieke netwerknummer van uw telefoon), MAC-adres (een andere unieke code die kan worden gebruikt om uw apparaat op het internet of lokale netwerken te identificeren), en Android ID (een code die aan uw systeem wordt toegewezen als u het apparaat voor het eerst instelt), naar een Chinees IP-adres, en dat alles zonder het te versleutelen. Vergeet de goede bedoelingen: hier is geen goede reden voor.

De gegevens die kunnen worden gebruikt om alle bewegingen van uw apparaat te volgen worden doorgespeeld aan iemand in China, en kunnen ook worden onderschept door iemand anders terwijl ze worden verstuurd. Aan wie deze gegevens worden verkocht of doorgegeven is ook een goede vraag. Maar in hun privacyverklaring beweren de ontwikkelaars dat ze geen persoonlijke informatie over de gebruiker verzamelen en dat ze geen locatiegegevens van het apparaat doorspelen.

Kunt u zich beschermen tegen spionage?

Zoals u ziet, kan een populaire app met een alledaagse privacyverklaring uw gevoelige gegevens in gevaar brengen. Daarom raden we u aan om zorgvuldig om te gaan met mobiele apps:

  • Installeer ze niet zomaar zonder reden. Ze kunnen u ook bespioneren zonder dat u ze gebruikt of opent. Als u een geïnstalleerde app niet langer nodig heeft, verwijder hem dan.
  • Gebruik AppCensus en Exodus Privacy om onbekende apps voor installatie te scannen. Als het resultaat zorgwekkend is, ga dan op zoek naar een andere app.
  • Geef apps niet zomaar alle machtigingen waar om wordt gevraagd. Als het onduidelijk is waarom de app bepaalde informatie nodig zou hebben, weiger dan de machtiging. Bekijk deze post voor meer informatie over machtigingen binnen Android; en u kunt apps en machtigingen ook eenvoudig beheren met gebruik van Kaspersky Security Cloud.