Google verwijdert tientallen Android-apps uit de Play Store die stiekem persoonlijke gegevens verzamelden. De apps waren geïnstalleerd op ten minste 60 miljoen apparaten. De aanleiding was een softwarebibliotheek die banden zou kunnen hebben met de Amerikaanse inlichtingendiensten. Ook gaat Google apps die te oud zijn en niet met de laatste API zijn bijgewerkt in de Play Store verbergen.
Apps in Play Store sluizen prive-gegevens door
Tientallen Android-apps zijn door Google uit de Play Store verwijderd na de ontdekking van een softwarebibliotheek die zonder medeweten van de gebruikers persoonlijke gegevens verzamelde.
Het gaat om internationale apps van uiteenlopende aard, zoals een app voor flitspalen met de naam Flitspalenradar, een weerwidget voor het homescreen (Simple weather & clock widget) of de tool-app Wifi Mouse, waarmee pc’s op afstand kunnen worden bediend.
Ontvang gratis meer nieuws over apps en security!
Schrijf je in voor de nieuwsbrief:
Ontwikkelaars van apps verkopen gegevens
Volgens de Wall Street Journal hadden de ontwikkelaars van de apps geld ontvangen voor het inbouwen van een reclamebibliotheek. De gegevensverzameling is afkomstig uit deze bibliotheek.
Naar verluidt was de bibliotheek bedoeld om niet-kritieke gegevens te verzamelen voor internetproviders en bedrijven uit de financiële en energiesector. Volgens het onderzoek waren de apps geïnstalleerd op ten minste 60 miljoen apparaten.
Wat wordt verzameld door de apps
De softwarebibliotheek van Measurement Systems zou netwerkinformatie van gebruikers hebben verzameld, alsmede persoonlijke gegevens zoals het klembord, GPS-coördinaten, e-mailadres en telefoonnummers, en deze hebben doorgestuurd naar servers op het netwerk.
Code ontdekt in apps in Google Play store
De code werd ontdekt door beveiligingsonderzoekers Serge Egelman van UC Berkeley en Joel Reardon van de Universiteit van Calgary. Volgens Reardon werd de ontdekking al in oktober 2021 aan Google gemeld.
De apps werden echter pas eind maart uit de Play Store verwijderd, aldus de Wall Street Journal. Volgens Google kunnen ontwikkelaars ze opnieuw uploaden, zodra ze de overtredende software hebben verwijderd.
Link met inlichtingendiensten
Het is nog onduidelijk in hoeverre de gegevensverzameling verband houdt met de activiteiten van de Amerikaanse inlichtingendiensten.
Measurement Systems is een bedrijf dat in Panama is gevestigd, maar banden heeft met een bedrijf in de Amerikaanse staat Virginia dat een contractant is van de Amerikaanse inlichtingendiensten.
In reactie op de beschuldigingen van Wall Street Journal ontkent Measurement Systems de betrokkenheid. Volgens Joel Reardon is de gegevensverzameling inmiddels gestopt door de DNS-records van de server te wijzigen.
Google wil apps die te oud zijn in de Play Store in de toekomst verbergen
Een andere schoonmaakactie van de Google Play Store behelst (te) oude Android-apps. Apps moeten vanaf 1 november 2022 een Android-API van de laatste twee jaar ondersteunen. Tot nu toe hoefden alleen nieuwe apps en updates up-to-date te zijn.
In de toekomst zal Google geen oude apps meer weergeven in de Play Store, tenzij ze zijn ontwikkeld of bijgewerkt met een Application Programming Interface (API) van de afgelopen twee jaar.
Alleen apps ontwikkeld met actuele API’s voldoen voor Play Store
Deze stap is bedoeld om de veiligheid op de apparaten te verhogen, omdat volgens Google alleen actuele API’s ervoor zorgen dat ze voldoen aan de huidige eisen inzake gegevensbescherming en veiligheid.
Het is onduidelijk hoeveel van de ongeveer 2,87 miljoen apps in de Play Store zijn getroffen.
Deadline voor ontwikkelaars op 1 november
Google heeft voor ontwikkelaars 1 november als deadline gesteld, die op verzoek ook met 6 maanden kan worden verlengd.
Apps die tegen die tijd niet zijn bijgewerkt, zullen overigens niet uit de Play Store worden geschopt, maar zullen alleen onzichtbaar worden voor alle apparaten waarop een versie van het besturingssysteem is geïnstalleerd die recenter is dan die van de toegepaste API.
Tot nu toe was het gebruik van een bijgewerkte ontwikkelaarstoolbox alleen verplicht voor apps die nieuw aan de Play Store moesten worden toegevoegd.
Apps zonder recente API werden gedoogd
Bestaande apps waarvoor een update was geïnstalleerd, werden ook getroffen. In elk geval moeten de ontwikkelaars een doel-API vaststellen die niet verder teruggaat dan één jaar na de laatste grote release.
In het verleden gebruikten sommige bekende bedrijven, zoals Facebook of Snapchat, API’s voor hun apps die al meer dan twee jaar oud waren. De reden hiervoor was dat zij aanpassingen die nodig waren vanwege nieuwere API’s wilden uitstellen.
Met oude besturingssystemen zijn apps nog wel zichtbaar
Gebruikers van oudere apparaten die nog een versie van het besturingssysteem hebben geïnstalleerd die overeenkomt met de status van de app, zouden de apps echter nog steeds in de Play Store moeten kunnen vinden, opnieuw moeten kunnen installeren en gebruiken.
