'Kindertracking in Android-apps schendt de wet'

Een geautomatiseerde controle van Android-apps en hun trackinggedrag wijst uit dat enkele duizenden apps de online-activiteit van kinderen uitgebreid volgen. Deze app-analyse is uitgevoerd op compliance met de Children’s Online Privacy Protection Act (COPPA) in de Verenigde Staten, die door de onderzoekers zelf wordt omschreven als "een van de weinige strikte privacywetten in de VS".

Jasper BakkerredacteurMeer van deze auteur

Android-apps voor kinderen — © Google

Google

De aangehaalde Amerikaanse privacywet voorziet in bescherming van kinderen onder de 13 jaar. Datavergaring voor die leeftijdsgroep wordt door COPPA aan banden gelegd, maar toch blijkt kindertracking in de praktijk te gebeuren. Dit is ontdekt door een gemêleerd team van Amerikaanse en Canadese onderzoekers van verschillende universiteiten. Zij hebben een automatische analyse uitgevoerd van het privacygedrag van 5.855 Android-apps.

Familie- en kinder-apps

De gekeurde apps zijn niet lukraak gekozen: het gaat specifiek om Android-applicaties die behoren tot het Designed for Families-programma van Google's Play Store. Dat initiatief van de Android-maker is juist gericht op COPPA en belooft ouders een veilige, creatieve omgeving voor hun kinderen. Deze belofte wordt niet bepaald waargemaakt.

Uit de analyse van universiteitsonderzoekers en computerwetenschappers komt naar voren dat 3.337 van deze 'familie-geschikte' apps aan ongepaste datavergaring doen. Hiermee zouden deze apps mogelijk COPPA schenden en dus illegaal bezig zijn, meldt onder meer tech-nieuwssite Engadget. Een klein aantal apps maakt zich schuldig aan duidelijke schendingen van de Amerikaanse wet voor kinderprivacy. Zo verzamelen 281 Android-apps de contactgegevens en locatiedata van hun jeugdige gebruikers, zónder dat opuders daarvoor om toestemming is gevraagd.

Identificeerbaar en onversleuteld

Daarnaast blijken 1100 apps informatie te delen met derde partijen waardoor gebruikers zijn te identificeren. Nog eens 2281 apps lijken in overtreding te zijn van de regels die Google zelf stelt voor zijn app store, zoals het delen van identificeerbare gebruikersgegevens met ontvangers die ook Android Advertising ID's gebruiken. Zo valt tracking nog veel effectiever te doen, wat voor kinderen dus eigenlijk niet mag.

Bovenop de geconstateerde privacyschendingen blijken veel van de onderzochte apps ook nog eens tekort te schieten wat hun security betreft. Ongeveer 40 procent van de apps verstuurt de vergaarde informatie namelijk zonder "redelijke beveiligingsmaatregelen" die COPPA wel verplicht stelt. De onderzoekers hebben bijvoorbeeld gekeken naar het gebruik van TLS (Transport Layer Security) bij de verzending van persoonsgegevens. Deze encryptie van de communicatie wordt niet gebruikt door 2344 van de 5.855 onderzochte Android-apps.

De belofte van de 'familie-afdeling' in Google's app store is duidelijk, maar aan de uitvoering blijkt een en ander te schorten: