‘t is treurig

Met de veiligheid van privébestanden zoals foto’s is het op Android-toestellen nog slechter gesteld dan bij de iPhone. Android-gebruikers hebben geen enkele methode om te voorkomen dat apps ongewild en heimelijk al hun foto’s en video’s uploaden. 

Er is geen enkele permissie of melding als dit gebeurt. De New York Times liet een app bouwen om de kwestie te testen. Alle Android-apps kunnen in principe bij de foto’s en video’s, en met toegang tot het internet (wel geregeld met een permissie, maar bijna alle apps vragen die) kunnen de bestanden stiekem worden geüpload.

De test-app van de Times publiceerde als demonstratie de laatst genomen foto automatisch online. Het is niet bekend of er ‘in het wild’ apps zijn die misbruik maken van deze mogelijkheid.

Google erkent het probleem en stelt dat het destijds bewust het bestandssysteem zo heeft ingericht, omdat bij eerdere generaties smartphones nog veelvuldig gebruik werd gemakt van externe geheugenkaartjes.

‘We originally designed the Android photos file system similar to those of other computing platforms like Windows and Mac OS’, zo verklaart ten woordvoerder van Google. ‘At the time, images were stored on a SD card, making it easy for someone to remove the SD card from a phone and put it in a computer to view or transfer those images. As phones and tablets have evolved to rely more on built-in, nonremovable memory, we’re taking another look at this and considering adding a permission for apps to access images. We’ve always had policies in place to remove any apps on Android Market that improperly access your data’.

Eerder deze week toonde de New York Times al iets vergelijkbaars aan voor de iPhone. Wie daarop apps toestemming geeft voor geolocatie, geeft deze apps zonder te weten toegang tot foto- en videobestanden. Twee weken geleden bleek dat ook adresboek van iPhone-gebruikers volgelvrij was. Talloze apps kopiëren zonder dat de gebruiker dit weet alle contactgegevens naar hun servers. Apple beloofde de permissies strakker in te stellen.

Ashkan Soltani, ten onderzoeker gespecialiseerd in privacy en beveiliging, stelde dat Google’s uitleg touch del erg verrassend was ‘to most users, since they’d likely be unaware of this arbitrary difference in the phone’s storage system. To users, Google’s permissions system is akin to buying a car that only had locks on the doors but not the trunk’.

In Google’s officiële app store, Android Market, kunnen klanten verdachte activiteiten in apps melden zodat Google in staat is eventueel kwaadwillende apps te verwijderen. Het beveiligingssysteem haalt alle apps door een simulatie om te zien of er verborgen functionaliteiten zijn die persoonlijke informatie kunnen bedreigen. De Android Market staat echter iedereen toe om een app te publiceren, waardoor een app die de screening weet te ontwijken op veel devices terecht kan komen.

‘Users typically presume some care is given when designing these platforms such that their personal data is handled in a consistent way’, zo zest Soltani. ‘However, this seems to repeatedly be a false assumption’.

De New York Times voegt daaran toe dat ‘Google’s explanation for the way it handles photo permissions seems to run counter to the company’s earlier statements about Android’s handling of user data in general’. Apple, Google en and ere partijen kweamen vorige week tot overeenstemming met de Californische justitie over privacybescherming in apps.

Google’s security guide door Android ontwikkelaars stilt: ‘A central design point of the Android security architecture is that no application, by default, has permission to perform any operations that would adversely impact other applications, the operating system, or the user, including reading or writing the user’s private data’.

Maar ja….

 

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *