Lekke apps: oprechte waarschuwing of commerciële meesterzet?

Honderden Nederlandse Android-apps zijn lek, voor Apple-apps geldt waarschijnlijk hetzelfde. Is de dit weekend breed opgepikte waarschuwing van het Amsterdamse Securify een oprechte waarschuwing of een schreeuw of aandacht?

Eén op de vijf Nederlandse Android-apps is volgens het Amstedamse Securfy niet veilig. Ze verzenden gevoelige gegevens onversleuteld. Of dat ook geldt voor de app op de foto is niet bekend: Securify wil niet zeggen om welke apps het gaat Beeld anp
Eén op de vijf Nederlandse Android-apps is volgens het Amstedamse Securfy niet veilig. Ze verzenden gevoelige gegevens onversleuteld. Of dat ook geldt voor de app op de foto is niet bekend: Securify wil niet zeggen om welke apps het gaatBeeld anp

Securify zegt willekeurig duizend Android-apps van Nederlandse oorsprong te hebben onderzocht 'van calorietesters tot bankenapps'. 531 daarvan bleken gevoelige gegevens versturen. Van die groep doen 199 dat onbeveiligd - eenvijfde van het totaal. Nog eens 43 hadden de beveiliging niet afdoende geregeld. Volgens Securify is er geen reden aan te nemen dat apps voor Apple en Windows niet net zo lek zijn.

Het bedrijf wil niet zeggen om welke apps het gaat. Appmakers kunnen hun gegevens op de website van het bedrijf achterlaten, waarna Securify ze laat weten of er wat mee aan de hand is. 'Wij willen hiermee vooral app-ontwikkelaars bereiken,' zegt David Vaartjes van Securify. 'Het is in onze wereld een ongeschreven regel dat je eerst de ontwikkelaars zelf bereikt. De oplossing ligt niet bij de eindgebruikers.'

Dat is maar de vraag. Als appbezitters lekke apps mijden, dan verdienen de makers er geen geld meer aan en worden ze zo gedwongen hun product te verbeteren. 'Dat is altijd het dilemma,' erkent Vaartjes. 'Maar ons doel is niet om bedrijven zwart te maken en we willen geen paniek zaaien. Wellicht dat we het alsnog doen, als bedrijven ondanks waarschuwingen toch niets doen.'

Eerder dit jaar deed het Amerikaanse Hold Security hetzelfde: op 420.000 websites zouden 1,2 miljard wachtwoorden zijn gekraakt. Welke sites dat waren werd niet bekend gemaakt. Dat konden potentiële slachtoffers alleen bij Hold navragen.

Alarmbericht
Met deze beproefde methode kunnen beveiligingsbedrijven twee vliegen in één klap slaan: ze profileren zich in de media met alarmberichten en verzamelen tegelijkertijd waardevolle mailadressen en contactgegevens van partijen die twijfelen over hun veiligheidsniveau.

'De publiciteit is handig,' erkent Vaartjes. 'Maar dat is niet onze drijfveer geweest. Om onze kennis van beveiliging bij te houden, besteden we een dag per week aan dit soort onderzoek. We zagen buitenlandse testen van apps met verontrustende resultaten en wilden weten of dat in Nederland ook zo is.'

'Wij vinden dat dit nodig is. Er zitten meer nobele gedachten achter dan je wellicht denkt. Steeds meer toepassingen zijn onderling verbonden en steeds meer gegevens worden onbeveiligd verzonden.'

Privacy
Overigens heeft het beveiligingsbedrijf geen (openbaar) privacyreglement voor het verzamelen, opslaan en gebruik van mailadressen. 'Daar heeft u wel gelijk in, maar dat is niet doelbewust. Het is gewoon heel snel gegaan.' Pas desgevraagd zegt Vaartjes dat Securify de gegevens 'zeker niet' zal gebruiken voor commerciële doeleinden.

Securify is een twee jaar oud beveilingsbedrijf dat is opgezet door voormalig werknemers van ABN Amro, Delta Lloyd en Rabobank verantwoordelijk waren voor online beveiliging. Het bedrijf richt zich op ondernemingen die lekken in hun digitale beveiliging laten opsporen en dichten.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden