Advertentie

Artikel

Android: zijn app-permissies gevaarlijk voor je online privacy?

Android: zijn app-permissies gevaarlijk voor je online privacy?
Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

  • Bijgewerkt:

Bij elke Android-app die je installeert, accepteer je permissies. Maar waar stem je nu werkelijk mee in? En zijn deze permissies gevaarlijk voor je online privacy en veiligheid?

Om de camera, internet en andere onderdelen van je telefoon te mogen gebruiken, verzoeken apps je om toestemming. De apps worden alleen geïnstalleerd als je akkoord gaat; slechts deels accepteren is geen optie. Vaak worden machtigingen gecombineerd, zodat het lijkt alsof je je volledige privacy in één klap openbaar maakt.

Misbruik van je gegevens kan leiden tot onaangename gevolgen, zoals het versturen van sms’jes in jouw naam of diefstal van persoonlijke gegevens. Daarom is het van belang om te weten waar je precies toestemming voor geeft. Ik loop alle verschillende machtigingen waarom apps kunnen vragen na en kijk naar de mogelijke gevaren en wat je kunt doen om problemen te voorkomen.

In-app-aankopen: pas op afpersing en bedrog

Veel apps zijn gratis, maar laten je vervolgens betalen voor specifieke onderdelen binnen de app zelf. In een spel als Candy Crush leg je geld neer om nieuwe levels te kopen, maar er zijn ook apps die de functie gebruiken om geld af te persen.

De malware Fakedefender bijvoorbeeld was een nep-antivirus die beloofde je telefoon schoon te boenen van virussen, nádat je een in-app-aankoop had gedaan. Je verwacht het waarschijnlijk al: de app sluist het geld van die in-app-aankoop door naar de eigen rekening. Iets onschuldiger, maar toch even gevaarlijk: kinderen die in een app onbewust allerlei levens en upgrades kopen van jouw creditcard.

Android Defender, een nep-antivirus met maar één doel: afpersing via in-app-aankopen.

Om problemen met in-app-aankopen te voorkomen gebruik je wachtwoordbeveiliging in Google Play. Zo voorkom je onbedoelde impulsaankopen en misleiding via valse beloftes.

Informatie over wifi-verbinding: diefstal van gevoelige gegevens

Mobiele data en wifi zijn onschuldig op zich. Bijna alle apps hebben verbinding met internet nodig om hun werk te doen. Deze machtiging wordt pas gevaarlijk wanneer ze worden gecombineerd met anderen, en er zo groen licht wordt gegevens om gegevens te verzenden naar de buitenwereld.

Bij het duo Contacten/Agenda en Informatie over wifi-verbinding moet je bijvoorbeeld even opletten. Waarom zou een app je adresboek en dataverbinding namelijk willen combineren? Misschien wel voor het verspreiden van reclame. Bij twijfel blokkeer je de dataverbinding voor de app met behulp van je Android-firewall.

Apparaat- en app-geschiedenis: jouw gebruiksgegevens op straat

Deze machtiging geeft toegang tot je telefoongegevens, zoals sites die je hebt bezocht of welke apps je vaak opstart. Een webbrowser, bestandbeheer-app of social media-app vragen doorgaans, logischerwijs, om deze permissie. Minder logisch is wanneer een game bijvoorbeeld deze informatie nodig heeft.

Toegang tot je internetgeschiedenis is normaal voor een browser als Chrome.

De risico’s voor je privacy zijn duidelijk: dit is het soort gegevens dat de NSA of andere nieuwsgierige aagjes graag willen achterhalen. Vraag jezelf daarom altijd af of de app in kwestie deze gegevens echt nodig heeft.

Identiteit: accountgegevens die je niet wilt delen

Een app machtigen je identiteitsgegevens te gebruiken, zoals accounts op je telefoon, is per definitie risky business. Voor sociale apps als Facebook of Twitter is deze optie zinvol; a-sociale apps hebben helemaal niets te zoeken tussen jouw persoonlijke gegevens. Geef een kwaadwillende app deze machtiging en deze kan zomaar je accounts verwijderen.

Contacten/agenda: wees voorzichtig met wie je je agenda deelt

Het grootste gevaar bij deze permissie schuilt in apps die e-mails stelen of agenda-afspraken wissen (of mensen uitnodigen voor afspraken) zonder toestemming. Virus FireLeaker bijvoorbeeld steelt telefoonnummers en e-mails, en stuurt die naar een server gerund door cybercriminelen. Om de gegevens vervolgens door te verkopen aan bedrijven die spam versturen.

Locatie: moet dat spel echt weten waar je nu bent?

Deze set permissies biedt toegang tot locatiesensoren zoals GPS. Nuttig voor kaarten, gidsen en apps die een geo-tag toevoegen aan berichten of foto’s. Heeft een app helemaal niets te maken met locatiegebonden informatie, wees dan op je hoede. Malware TigerBot, ontdekt in 2012, stal de GPS-locatie van slachtoffers, samen met andere gegevens zoals telefoonhistorie en foto’s. TigerBot is een Trojaans paard dat zich verbergt onder de generieke naam “Systeem”.

SMS: dure berichtjes

Waarom zou een app sms’jes moeten ontvangen, lezen of versturen? Simpel: sommige apps gebruiken sms om je registratie te bevestigen. Het versturen van dure sms-berichten vanaf jouw telefoon is echter een lucratieve misleiding. Dit jaar nog vond Panda Labs een dieet-app die 300.000 geabonneerde gebruikers wist op te lichten door dure sms’jes te versturen.

Telefoon: wanneer mag een app bellen?

Deze vergunning is bedoeld voor apps als WhatsApp en LINE, apps die contacten blokkeren en digitale antwoordapparaten. Vraagt een volslagen ongerelateerde applicatie om deze permissie, dan moeten er alarmbelletjes bij je gaan rinkelen. Goed voorbeeld is malware MouaBad, ontdekt in 2013 door Lookout, die zonder dat je het merkte dure gesprekken voerde met hackers.

MouaBad, malware die op afstand je telefoonrekening misbruikt.

Foto’s/media/bestanden: gevoelige kiekjes in verkeerde handen

Vraagt een app of het bestanden op mag slaan, dan moet jij ‘m daarvoor toegang geven. Het is moeilijk om te weten wanneer deze permissie wordt gebruikt voor kwaadaardige doeleinden, zoals het stelen of wissen van bestanden.

Sommige virussen stelen bijvoorbeeld foto’s om ze vervolgens door te plaatsen op andere plekken. Goed voorbeeld daarvan is de app Pixer, die overigens nog altijd in Google Play te vinden is.

Camera/microfoon: permissies à la 007

Wanneer je een app toegang geeft tot je camera en microfoon, dan mag deze foto’s, video’s en geluiden opnemen. Niet gek ook, voor apps als Instagram, Skype of Facebook. In andere gevallen is alertheid op zijn plaats.

PlaceRaider, een app die willekeurig foto’s maakt en een kamer reconstrueert.

Het door Amerikaanse onderzoekers gemaakte PlaceRaider attendeert op de gevaren die dit soort app met zich meebrengen. De app is in staat foto’s te nemen zonder toestemming, om zo de volledige opbouw van bijvoorbeeld kamers in je huis te reconstrueren. Een zelfsturende spion dus.

Informatie over apparaat-ID en oproep: de genen van je telefoon

Android geeft sommige apps toestemming om door te dringen tot de ware identiteit van je telefoon: gegevens zoals het serienummer en de IMEI-code. Deze code handmatig verkrijgen is nogal triviaal.

Gegevens rondom je apparaat-ID.

Met een geldige IMEI kan iemand je telefoon klonen, bellen en nummers blokkeren wanneer je telefoon bijvoorbeeld is gestolen. Het virus Badnews is een voorbeeld van dit soort malware.

Overige: gevaarlijk allegaartje

Naast bovenstaande typische Android-persmissies zijn er ook apps die vragen om unieke machtigingen. Onder deze machtigingen zitten een aantal erg gevoelige, zoals het verkrijgen van volledige toegang en controle over jouw apparaat via een datanetwerk. Er zijn, kortom, geen grenzen aan dit grote vraagteken, met alle gevaren van dien.

De gouden regel: kijk goed voordat je accepteert

Heb je een app gedownload, maar twijfel je over de permissies die het vraagt? Neem dan gerust contact op met de makers via Google Play. Recensies van andere gebruikers zijn daarnaast een goede indicatie voor de betrouwbaarheid van een app. Doorloop dit proces daarom voor elke app die ook maar de kleinste vraagtekens oproept.

En hoe zit het met apps die je al hebt geïnstalleerd? Daarvoor gebruik je hulpapplicaties die uitsluitend zijn gewijd aan het beoordelen van permissies en machtigingen op je telefoon of tablet. Goed voorbeeld is F-Secure App Permissions, die alle app-permissies scant en de meest verdachte gevallen voor je op een rij zet.

F-Secure App Permissions geeft een score aan elke geïnstalleerde app.

Na bovenstaande lijst lijkt het misschien alsof app-permissies enkel instrumenten van het kwaad zijn. Dat is niet waar. Permissies zijn essentieel voor de goede werking van vele legitieme apps. De alles-of-niets-mentaliteit voor permissies in Android is echter een probleem, dat leidt tot gevaarlijke vergissing. Wees daarom altijd op je hoede!

Lees ook:

Fabrizio Ferri-Benedetti

Fabrizio Ferri-Benedetti

Editorial Richtlijnen