Android verzamelt tot tien keer meer gegevens over gebruikers dan iOS. Google spioneert zelfs op een iPhone zonder Chrome

Android verzamelt tot tien keer meer gegevens over haar gebruikers dan iOS. Dat blijkt uit onderzoek van Vanderbilt University in opdracht van Digital Context Next.

Het onderzoek toont ook aan dat Google zelfs gegevens ontvangt wanneer gebruikers onderweg zijn met een iPhone zonder Google Chrome.

Een Android-smartphone zou gemiddeld 40,2 verzoeken om gebruikersgegevens per uur doen. Apple zou echter slechts 4,2 verzoeken per uur naar een iPhone sturen.

Google verzamelt onze gegevens ook als we Google niet gebruiken

“Een groot deel van de gegevensverzameling door Google vindt plaats terwijl een gebruiker geen directe interactie heeft met een Google-product. De omvang van de collectie is aanzienlijk, vooral op mobiele Android-apparaten”, aldus de onderzoekers.

“En hoewel dergelijke informatie doorgaans wordt verzameld zonder individuele gebruikers te identificeren, heeft Google de mogelijkheid om gegevens uit andere bronnen te gebruiken om een dergelijke verzameling te de-anonimiseren.”

Google vraagt voortdurend je locatiegegevens op

Er zijn ook grote verschillen zijn in het soort gegevens dat wordt opgevraagd. 35 procent van de informatie die Google ontvangt van een Android-smartphone betreft locatiegegevens. 24 procent valt in de categorie van apparaatuploads en 18 procent verwijst naar de Google Play App Store.

Bij Apple betreffen de locatiegegevens echter slechts één procent van de data die wordt opgevraagd en de apparaatuploads 46 procent.

Het gemiddelde van 40,2 queries per dag zorgt voor 4,4 MByte dataverkeer per dag voor Google en Android. Apple zorgt bezorgt gebruikers van iOS apparaten als iPhone en iPad echter slechts 0,63 MByte per dag aan dataverkeer belasting.

Scenario van een normale dag

Douglas Schmidt, hoogleraar aan de Universiteit van Vanderbilt, gebruikte voor het onderzoek een scenario dat een normale dag van gebruik weergeeft. Het is gebaseerd op een nieuw Google-account en een nieuwe SIM-kaart.

“Google verzamelde gegevens over verschillende activiteiten, zoals de locatie van de gebruiker, de afgelegde afstanden en de muziek die wordt afgespeeld”, aldus de onderzoeker.

Verrassend genoeg heeft Google meer dan twee derde van de informatie passief verzameld of afgeleid. Aan het eind van de dag heeft Google met opmerkelijke nauwkeurigheid de belangen van de gebruikers geïdentificeerd.

Google Chrome speelt belangrijke rol

De browser Chrome speelt een belangrijke rol bij het verzamelen van gegevens. Android en Chrome stuurden ook gegevens naar Google zonder interactie met de gebruiker.

“Onze experimenten tonen aan dat een ongebruikte, stationaire Android-telefoon (met Chrome op de achtergrond) tijdens een 24-uurs sessie 340 keer locatie-informatie naar Google stuurde. In feite is locatie-informatie goed voor 35% van alle datamonsters die naar Google worden gestuurd.”

 

Meer actueel awareness nieuws

Apple MacBook gebruikers opgelet! Gebruik je Adware Doctor software? Meteen verwijderen! Het blijkt spyware te zijn…

Adware Doctor is een van de best verkochte hulpprogramma’s in de Mac App Store. Veel Apple Macbook gebruikers kopen het programma om adware te voorkomen. Nu blijkt dat het programma zelf spyware is en op de achtergrond voortdurend gegevens naar China stuurt.

Video: zo steelt Adware Doctor persoonlijke data

In een bericht op zijn site Objective-See legt veiligheidsonderzoeker Patrick Wardle tot in detail uit hoe de app de browsergeschiedenis van een gebruiker verzamelt bij Chrome, Firefox of Safari, deze gegevens opslaat in een versleuteld bestand en ze vervolgens verstuurt naar servers in China.

 

Patrick Wardle adviseert Apple gebruikers die Adware Doctor op hun Macbook hebben staan de app onmiddelijk te verwijderen.

Apple reageert traag op spyware waarschuwing

De spyware werd ontdekt door Twittergebruiker @Privacyis1st. Hij stelde Apple op 14 augustus 2018 op de hoogte van zijn ontdekking. De Amerikaanse computerfabrikant reageerde echter pas op 7 september.

 

Apple heeft Adware Doctor nu uit de Mac App Store verwijderd. De trage reactie van Apple verontrust sommige Apple gebruikers die er juist op vertrouwden dat Apple er zelf alles aan doet om de verspreiding van virussen en spyware op hun computers te voorkomen.

Wat zijn Apple beloftes waard?

Apple claimt zelf dat de Mac App Store “de veiligste plek om programma’s voor je Mac te downloaden” is.

Apple belooft “elk programma te controleren voordat het in de App Store wordt geaccepteerd. En als er ooit een probleem is met een programma, kan Apple dit snel uit de Appstore verwijderen”.

Kwaadaardige software in Apple Appstore

De Apple beloftes blijken dus niet waterdicht. Er kunnen ondanks de strenge controle van Apple toch kwaadaardige programma’s in de Appstore belanden.

De belofte van Apple om in zo’n geval snel te reageren blijkt ook niet te kloppen. Het duurde bijna een maand.

Grote vraag is nu of er meer kwaadaardige programma’s in de appstore van Apple staan.

Duidelijk is in ieder geval wel dat Apple gebruikers er niet blindelings op kunnen vertrouwen dat Apple hen zal helpen om aan de AVG te voldoen.

Meer actueel awareness nieuws

55 procent van de apps in de Google Play Store voldoet niet aan de AVG. Wat moet je als app-ontwikkelaar doen?

We maken op onze smartphones en tablets gebruik van diverse apps waarvan het merendeel niet rechtmatig persoonsgegevens verwerkt.

Volgens SafeDK – een softwarebedrijf die het gebruik van softwareontwikkelingskits (SDK’s) in mobiele apps controleert – voldoet 55 procent van de apps uit de Google Play Store momenteel (september 2018) niet aan de Algemene Verordening Gegevensbescherming.

Privacybeleid Apple appstore en Google Playstore

Apple en Google hebben aangekondigd binnenkort apps die niet aan de Algemene Verordening Gegevensbescherming (AGV) voldoen te willen gaan verwijderen.

Veel organisaties focussen zich bij het ontwikkelen van verplicht privacybeleid op social media apps als Whatsapp, Facebook, Twitter en Instagram.

De rest van de apps op smartphones en tablets wordt vaak vergeten. Terwijl ook veel van die apps voor datalekken kunnen zorgen.

PrivacyZone.nl beschrijft in dit artikel de risico’s voor de bedrijven die eigen apps hebben en de gebruikers van deze apps.

 

Veel apps verzamelen de volgende persoonsgegevens:

 

  • Gebruikersnaam
  • Wachtwoord
  • Emailadres
  • Mobiele telefoonnummer
  • IP adressen, Cookie ID ́s, IMEI nummer en andere elektronische identifyers
  • Contacten uit het adresboek
  • Bestanden die op het apparaat voorkomen zoals foto’s, video’s en andere bestanden
  • Informatie die de appgebruiker in de app invoert
  • Bestanden die de appgebruiker via de app verstuurt
  • Informatie over het gebruik van de app
  • Beelden die van de appgebruiker worden gemaakt via de camera
  • Stemopnamen die van de appgebruiker worden gemaakt via de microfoon
  • Log-in gegevens van social media accounts
  • Locatiegegevens

Laten we eerst eens naar deze apps kijken vanuit het blikpunt van de gebruiker.

Medewerkers die de apps gebruiken.

Mogen / kunnen deze medewerkers zelf apps installeren op hun smartphone of tablet?

Wie controleert of de apps voldoen aan de AVG?

Worden de apps ook vermeld in het verwerkingsregister?

Wordt er bij de AVG awareness training ook aandacht aan de risico’s van apps besteed?

Hoe zit het met privégebruik van de zakelijke telefoon? Mag dat? Is daar beleid voor ontwikkeld?

En hoe zit het omgekeerd met het zakelijk gebruik van privé smartphones en tablets. Hoe groot is de kans op zakelijke datalekken door deze privétoestellen?

Is er een Bring Your Own Device policy?

En laten we vervolgens eens vanuit het oogpunt kijken van organisaties die zelf een eigen app voor smartphones of tablets laten ontwikkelen.

Ben je een ontwikkelaar van apps? Dan is het in verband met de AVG van belang om te controleren of deze app niet te veel gegevens verzamelt.

Apps voor smartphones en tablets maken gebruik van verschillende privacygevoelige technische opties op deze apparaten. Ze hebben bijvoorbeeld toegang tot positiegegevens, de camera, de microfoon en het adresboek van de gebruiker.

Veel van de gegevens waar de app toegang tot heeft zijn echter helemaal niet nodig voor de functionaliteit het programma.

 

Ontwikkelaars van apps overtreden vaak bewust of onbewust de nieuwe Europese privacyregels.

Een van die regels is bijvoorbeeld ‘dataminimalisatie’. De app mag niet meer gegevens verwerken of vragen dan absoluut nodig is om goed te kunnen functioneren.

Sommige apps willen voortdurend toegang tot bestanden, media en foto’s. Of deze autorisaties echt nodig zijn voor de functionaliteit van de app is dan twijfelachtig.

 

Elke gebruiker die een applicatie installeert, geeft toestemming voor de bijbehorende gegevensverwerking.

Overtreding van wettelijke voorschriften kan leiden tot ongeldigheid van de gehele toestemming. Dit kan voor de ontwikkelaar leiden tot juridische problemen.

Apps moeten voordat ze voor de eerdte keer worden geactiveerd volgens de AVG expliciet toestemming vragen voor de verwerking van persoonsgegevens. Aan die eis wordt door veel apps niet voldaan.

Veel apps maken gebruik van Amerikaanse of Aziatische webservers. Datatransmissie naar deze servers wordt als onveilig beschouwd.

Een app moet worden ontwikkeld in overeenstemming met de regelgeving inzake gegevensbescherming. In de toekomst zullen daar ook de bepalingen van de ePrivacy Verordening nog bij komsn. Deze ePrivacyregelgeving vervangt de bepalingen van de Telecomwet, die nu nog van toepassing is.

De oude en de nieuwe privacyregels bepalen dat er op een begrijpelijke en gemakkelijk toegankelijke manier toestemming moet worden gevraagd voor het verwerken van persoonsgegevens.

Aansprakelijkheid ontwikkelaar app

Als je een eigen app in de Google Play Store of de Apple App Store hebt moet je te allen tijde aan de toezichthouder kunnen aantonen dat je voldoet aan de bepalingen van de AVG.

De bewijsplicht strekt zich ook uit tot de beveiliging van gegevensverwerking, de bescherming van de rechten van betrokkenen en de naleving van de algemene gegevensbeschermingsbeginselen.

Je bent verplicht een verwerkingsregister bij te houden en effectbeoordelingen op het gebied van gegevensbescherming op te stellen.

Privacy by design & privacy by default

De Europese privacyrichtlijnen schrijven voor dat een interne strategie moet worden ontwikkeld voor de tenuitvoerlegging van de vereisten inzake gegevensbescherming.

Enerzijds moet de eigenaar van een app ervoor zorgen dat de Europese pivacyregels worden nageleefd.

Anderzijds moet hij de gebruiker de mogelijkheid bieden om het gebruik van zijn persoonsgegevens te controleren of te wijzigen.

Elke app moet zo worden geprogrammeerd dat hij alleen de gegevens verzamelt en opslaat die nodig zijn voor de gegevensverwerking.

Meer actueel awareness nieuws