Mobiele apps houden u in de gaten

Mobiele apps voor iOS en Android traceren uw locatie en verkopen deze gegevens aan derden. Hoe kunt u zulke apps herkennen?

Sommige mobiele apps houden uw locatie bij en verzenden deze gegevens stiekem naar diensten die deze weer verder verkopen. U gebruikt vrijwel zeker minimaal één zo’n app zonder het te weten. Hoe ontdekt u welke apps problematisch kunnen zijn en wat kunt u eraan doen?

Welke mobiele apps traceren u?

Toen Coston Raiu, de directeur van Kaspersky GreAT’s, een visualisatie zag van studenten die zich tijdens hun vakantie over de heel Amerika verspreidden tijdens de COVID-19-pandemie, dacht hij niet aan het coronavirus, maar aan de apps die de locatie van hun gebruikers traceren. Het rapport was gebaseerd op een onderzoek met onder andere locatiegegevens van X-Mode. Maar waar haalde X-Mode die gegevens vandaan?

X-Mode distribueert een SDK (een component dat ontwikkelaars in hun apps kunnen integreren) en betaalt de ontwikkelaars afhankelijk van het aantal regelmatige app-gebruikers maandelijks om die in hun apps op te nemen. In ruil daarvoor verzamelt de SDK locatiegegevens plus wat gegevens van de smartphone-sensoren, zoals bijvoorbeeld de gyroscoop, en verstuurt het deze naar de X-Mode-servers. Later verkoopt X-Mode deze zogenaamd geanonimiseerde gegevens aan wie er dan ook maar interesse in heeft.

X-Mode beweert dat de SDK geen grote impact op de batterijduur heeft en hier slechts 1%–3% van gebruikt, dus gebruikers merken de SDK niet eens op. X-Mode zegt ook dat het verzamelen van gegevens op deze manier “absoluut legaal” is, en dat de SDK volledig voldoet aan de AVG.

Hoeveel van dit soort apps zijn er?

Raiu vroeg zichzelf af of hij zelf ook zo getraceerd werd. De eenvoudigste manier om daar achter te komen was om de adressen van de command-and-control-servers die de tracking-SDK’s gebruikten te identificeren, en om vervolgens het uitgaande netwerkverkeer vanaf zijn apparaat te bekijken. Als een app op zijn smartphone met minimaal één zo’n server communiceerde, zou dit betekenen dat hij inderdaad getraceerd werd. Om dit te doen, moest Raiu de serveradressen te weten komen. Zijn onderzoek werd al snel hét gespreksonderwerp tijdens de SAS@home-conferentie van dit jaar.

Na wat reverse engineering, giswerk, decodering en speurwerk vond hij ze, en schreef hij vervolgens een stuk code dat hem zou helpen om het te detecteren als een app er toegang tot probeerde te krijgen. In feite ontdekte hij dat als een app een bepaalde regel met code bevat, hij ook de tracking-SDK gebruikt.

Raiu vond meer dan 240 verschillende apps met een geïntegreerde SDK. In het totaal zijn deze apps meer dan 500 miljoen keer geïnstalleerd. Als we de ruwe aanname doen dat de gemiddelde gebruiker slechts één zo’n app heeft geïnstalleerd, betekent dat dat er 1 op de 16 mensen over de hele wereld een tracking-app op hun apparaat hebben staan. Dat is een hoop. De kans dat u er daar één van bent is… nou ja, 1 op 16 dus.

Bovendien is X-Mode slechts een van de vele bedrijven van zijn soort in deze industrie.

En daar komt ook nog eens bij dat apps meer dan één SDK kunnen bevatten. Terwijl Raiu bijvoorbeeld op zoek was naar een app die deze X-Mode-SDK bevatte, ontdekte hij vijf andere componenten van andere bedrijven die ook locatiegegevens verzamelden. De ontwikkelaar probeerde overduidelijk zo veel mogelijk geld aan de app te verdienen, en het was niet eens een gratis app. Het betalen voor een applicatie betekent helaas niet dat de makers ervan het nalaten om er nóg meer geld aan te verdienen.

Wat kunt u doen om het traceren te voorkomen?

De problemen met deze tracking-SDK’s is dat als u een app downloadt, u nooit van tevoren weet of die dit soort tracking-componenten bevat. De app kan goede redenen hebben om u om uw locatie te vragen; er zijn tal van apps die dit nodig hebben om goed te kunnen werken. Maar ook zo’n app kan uw locatiegegevens verkopen — het is dus moeilijk in te schatten.

Om technisch onderlegde gebruikers te helpen de kans op getraceerd worden te minimaliseren, heeft Raiu een lijst samengesteld van de C&C-servers die deze SDK’s gebruiken. Deze vindt u op zijn persoonlijke GitHub-pagina. Een RaspberryPi-computer met daarop Pi-hole- en WireGuard-software geïnstalleerd kan helpen om het verkeer in uw thuisnetwerk te controleren en de apps onthullen die contact proberen te maken met zulke servers.

Het bovenstaande gaat veel mensen waarschijnlijk hun pet te boven, maar u kunt in ieder geval het risico van zulke apps beperken door de machtigingen in te perken.

  • Bekijk welke apps machtigingen hebben om locatiegegevens te gebruiken. U kunt hier informatie vinden over hoe u dat op Android 8 doet; en bij nieuwere versies is dit niet heel anders. En zo stopt u locatie-tracking op iOS. Als u van mening bent dat een app die machtiging niet echt nodig heeft, aarzel dan niet om hem in te trekken.
  • Geef apps alleen toestemming om uw locatie te gebruiken terwijl u ze gebruikt. Voor de meeste apps is het niet nodig om uw locatie te weten als ze op de achtergrond draaien, waardoor dit de ideale instelling is voor de meeste van deze apps.
  • Verwijder apps die u niet langer gebruikt. Als u een app al een maand of langer niet hebt geopend, dan kunt u best stellen dat u die helemaal niet nodig heeft; en als u hem in de toekomst alsnog wil gebruiken, kunt u hem altijd nog opnieuw installeren.
  • Houd er rekening mee dat dit soort locatie-tracerende componenten lang niet het ergste zijn wat er in apps kan worden aangetroffen. Zelfs in legitieme apps die u op de officiële winkels vindt. Sommige apps kunnen ronduit schadelijk zijn, en andere kunnen pas schadelijk worden nadat ze verkocht worden of simpelweg na een update. Daarom raden we aan om een robuuste beveiligingsoplossing te gebruiken, zoals bijvoorbeeld Kaspersky Internet Security for Android, waarmee u beschermt bent tegen allerlei mobiele dreigingen.

Tips