Onderzoekers: groot privacylek in Android-apps

Veel apps die te downloaden zijn in Google Play, de appwinkel voor Android-apparaten, bevatten privésleutels die in handen van kwaadwillenden kunnen komen. Dat hebben onderzoekers van de Universiteit van Columbia ontdekt. Het gaat om duizenden apps, waaronder die van Facebook, LinkedIn en Amazon Web Services.

null Beeld thinkstock
Beeld thinkstock

De sleutels worden gebruikt om gegevens uit te wisselen met verschillende andere diensten, zoals social media of clouddiensten. Maar tegenwoordig zijn ze niet meer nodig om de app goed te laten functioneren. Bovendien kunnen ze privégegevens van gebruikers prijsgeven als ze in handen komen van kwaadwillenden. Het is niet bekend of er ook daarwerkelijk misbruik van het lek is gemaakt.

Het is onduidelijk waarom zoveel apps nog gebruik van de privésleutels blijken te maken - zelfs apps die door Google als 'top ontwikkelaar' zijn aangemerkt.

Ingedamd
De onderzoekers zeggen dat ze de veiligheidsrisico's inmiddels hebben ingedamd in samenwerking met onder andere Amazon en Facebook. Google heeft inmiddels een systeem ingebouwd dat alle apps automatisch scant op ingebouwde privésleutels. Worden die aangetroffen, dan krijgen de ontwikkelaars een waarschuwing.

De onderzoekers ontwikkelden PlayDrone, een programmaatje waarmee ze automatisch apps uit de Play Store konden downloaden en analyseren. Zo kwamen ze niet alleen achter het beveiligingslek, maar wisten ze ook te achterhalen dat een kwart van alle apps uit de Play Store een exacte kopie is van andere apps uit diezelfde Play Store.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden