Populaire Android-apps 'luisteren af' via schermopnames

Onderzoekers van de Northeastern University te Boston hebben het afgelopen jaar een grootschalige, empirische analyse uitgevoerd van Android-apps om afluistergedrag in kaart te brengen. Hiervoor hebben zij 17.260 apps geselecteerd en aan de tand gevoeld. De apps zijn afkomstig uit Google's officiële app store voor Android plus uit drie alternatieve, veelgebruikte app stores: App China, Mi.com en Anzhi. In het uitgebreide onderzoek is het gedrag van deze apps bestudeerd en dan met name het uploaden van mediabestanden.

'Alarmerende privacyrisico's'

"Ons onderzoek brengt diverse alarmerende privacyrisico's in het Android-appecosysteem in kaart", schrijven de wetenschappers over hun studiewerk met de titel 'Panoptispy'. Onder de geconstateerde risico's zitten ook apps die overmatige media-permissies vragen, en van veel gebruikers dus ook krijgen. Dankzij dit zogeheten over-provisioning krijgen apps toegang tot bijvoorbeeld de microfoons, camera's en bewegingssensors van smartphones terwijl dat voor het functioneren van apps niet strikt nodig is. Dit voedt achterdocht en vrees over afluisteren door smartphones ten behoeve van gerichte ads.

Een ander risico dat de Amerikaanse onderzoekers nu aankaarten is het delen van beeld- en videodata door apps met andere partijen, op manieren en voor doeleinden die voor gebruikers onverwacht, ongewenst en zelfs onbekend kunnen zijn. Android-smartphonemaker Samsung is momenteel verwikkeld in een schandaal over een bug in zijn Galaxy-toestellen waardoor die onbedoeld (en ongelogged) foto's versturen aan willekeurige contactpersonen.

Third-party libraries

Een derde risico dat de wetenschappers identificeren is een privacyprobleem dat niet zo algemeen bekend is, en waar volgens de onderzoekers tot op heden nog niet over geschreven is. Het gaat om libraries van derde partijen die schermopnames maken, zowel screenshots als ook video's, en die uploaden zonder de gebruiker hierover te informeren. "Dit kan gebeuren zonder dat er permissie van de gebruiker nodig is."

Het grootschalige onderzoek is geautomatiseerd uitgevoerd op een subset van de initiële 17.260 apps. Op basis van toegang tot camera en microfoon, maar ook gebruikte libraries, is dat aantal teruggebracht naar 9.100 apps. Daarvan is vooraf gededuceerd dat die een potentieel risico hebben voor het lekken van media zoals geluid en beeld. Het merendeel (ruim 8000 stuks) van deze geteste apps is afkomstig uit Google Play, de officiële en standaard voorgeïnstalleerde app store voor Android.

De 8.038 apps uit Google Play is een subset van 30.504 apps.Dat totaalaantal is samengesteld uit apps die óf een plek hebben in de top 600 voor gratis apps, óf in de algemene top 600 van populaire apps, óf de nieuwste 600 apps, óf nieuwste 600 op categoriebasis. Uit de drie alternatieve app stores, die de grootsten zijn ná Google's app-winkel, zijn de meest populaire apps gekozen in combinatie met een mix van willekeurig gekozen apps uit de AndroZoo-collectie voor onderzoeksdoeleinden.

Niet afluisteren, wel afkijken

Uit deze studie naar afluistergedrag komt geen enkel geval van stiekem afluisteren naar voren. Tenminste, niet in letterlijke zin. Natuurlijk nemen de onderzoekers wetenschappelijke terughoudendheid in acht door op te merken dat hun onderzoek geen definitief bewijst geeft dat afluisteren niet gebeurt. Maar belangrijker nog is dat zij hebben ontdekt dat veel apps opnames maken van het smartphonescherm om dat door te sturen naar derde partijen.

Het gaat hierbij mede om bedrijven en libraries die aan mobile analytics doen. Het gebruik van apps wordt zo in de praktijk letterlijk bekeken en vervolgens geanalyseerd zodat apps verbeterd kunnen worden. Deze verbeteringen kunnen uiteenlopen van gebruikersinterfaces tot prestatieniveaus. Een concreet voorbeeld van deze libraries is AppSee wat meekwam in de app van bezorgbedrijfje GoPuff, die deze monitoring niet vermeldde in zijn privacy policy.

Voorwaarden, voorwaarden en controle

Nadat de wetenschappers GoPuff hierover hebben benaderd, is dit gemis wel rechtgezet: een alinea over AppSee is toegevoegd aan het privacydocument. Daarnaast is in nieuwere builds van de app voor Android en iOS de AppSee-code verwijderd, meldt Gizmodo. Volgens AppSee is zijn klant GoPuff de fout ingegaan door gebruikers niet te informeren over de mogelijkheid van schermopnames. De softwaremaker stelt dat de voorwaarden voor zijn klanten hun verplicht om het codegebruik mede te delen aan hun eindgebruikers. Bepaalde mogelijkheden zijn ook uit te schakelen door app-makers.

Ondertussen is AppSee echter ook niet onschuldig, schrijft Gizmodo op uit de mond van een Google-woordvoerder. Die reageert dat een deel van AppSee's services voor sommige app-developers een risico kunnen vormen dat zij de voorwaarden van de Google Play app store schenden. Android-maker Google verplicht app-makers namelijk om aan eindgebruikers mede te delen hoe hun data wordt vergaard en waarvoor. Aan die verplichting is dus niet voldaan.

Illegaal voetbal kijken

De wetenschappers van de Northeastern University hebben al een whitepaper over hun onderzoek gepubliceerd en presenteren hun werk eind deze maand op een conferentie in Barcelona. Gizmodo haalt nog het recente privacy-incident aan met de officiële app van de Spaanse voetbalbond La Liga. Die app voor het streamen van voetbalwedstrijden bleek de microfoons en GPS-sensors van smartphones te gebruiken om illegale uitzendingen in bijvoorbeeld bars en restaurants te detecteren. De app had overigens wel permissie gevraagd voor toegang tot de microfoon, maar dit innovatieve gebruik heeft veel mensen verbaasd.