Mac-App-Store (1)
Tom

Tom

App-winkels kunnen je niet beschermen tegen Apps die jouw gegevens misbruiken

Apps die je van een App-store (Apple, Google, Microsoft e.a.) ontvangt, zijn niet noodzakelijkerwijs betrouwbaar. Een top App in de Mac die browsergegevens bijhoudt, is slechts het nieuwste voorbeeld. Ook een App die je krijgt van een kan slechte dingen doen met je gegevens.

 

De is zeker niet veilig

Apple controleert haar App-winkels streng en vereist handmatige beoordeling door mensen. Er worden dan ook regelmatig Apps om uiteenlopende redenen weigeren. Apple staat er ook om bekend de van gebruikers te willen beschermen. Je zou dan ook veel bescherming voor je gegevens verwachten van Apps uit App Store’s. Maar als je dat doet, kom je bedrogen uit.

Doctor, een van de topverkopende Apps in de Mac App Store, legde de web geschiedenis van Mac-gebruikers vast en uploadde deze naar een server in China. Apple wist dit al een hele maand, maar verwijderde de App pas uit de verkoop toen deze praktijk publiekelijk werd gepubliceerd.

Dit was geen eenmalig probleem. Kort na deze openbare terechtwijzing van Apple onthulde Reed Thomas van Malwarebytes verschillende Mac App Store-Apps die zich op dezelfde manier gedroegen. Hij schreef dat Malwarebytes al jaren software als deze aan Apple meld, maar dat Apple zelden onmiddellijk in actie kwam. Het kan zomaar een half jaar duren voordat Apple een slechte App verwijdert. Apple heeft die Apps uiteindelijk wel verwijderd, maar pas nadat het probleem door derden openbaar werd gemaakt.

Zoals Malwarebytes enkele jaren geleden al opmerkte, zit de Mac App Store, in tegenstelling tot wat je zou verwachten van een bedrijf als Apple boordevol met Apps die zich misdragen. Thomas raadt iedereen aan “de App Store te behandelen net als elke andere downloadlocatie: als potentieel gevaarlijk.” Apple controleert het niet goed.

Apple vereist dat elke App een privacybeleid heeft (dat je niet zult lezen)

Apple doet echter iets met het probleem! Vanaf 3 oktober 2018 moeten alle nieuwe Apps die zijn geüpload naar de winkel een zichtbaar privacybeleid hebben. Nieuwe en bijgewerkte Apps in de winkel – met andere woorden, niet echt elke App – moeten een link op haar App-winkelpagina hebben waarop je kunt tikken om het ​​privacybeleid te bekijken.

Volgens de App Store-richtlijnen van Apple moet dat privacybeleid aangeven welke gegevens de App verzamelt, uitleggen waarvoor de gegevens worden gebruikt en aangeven hoe je de gegevens kunt laten verwijderen.

Wat een “sublieme bescherming”: Apple vereist dat de App je in de kleine lettertjes vertelt wat hij doet, iets wat geen mens zal lezen.

Google vereist op vergelijkbare wijze een privacybeleid voor veel Apps nodig. Maar hier speelt hetzelfde probleem als bij Apple dit levert alleen maar nog meer kleine lettertjes op.

Je bent waarschijnlijk al akkoord gegaan met het delen van gegevens

Je kunt wel verontwaardigd zijn dat je gegevens worden verzameld, naar de servers van een bedrijf worden gestuurd en met een aantal partners worden gedeeld, maar je bent er zelf akkoord mee gegaan!

Hoe? Veel van deze gegevensvastlegging en -deling wordt beschreven in de verschillende algemene voorwaarden, gebruikersovereenkomsten en het privacybeleid waar je doorheen moet klikken tijdens het installeren van software of het maken van gebruikersaccounts.

Bijna niemand leest die dingen omdat we wel wat beters te doen hebben dan door een uitgebreid contract bladeren elke keer als we een App installeren of online een nieuw account maken. Iedereen weet dit, ook de mensen die ze schrijven. Maar het doet er niet toe. Dit gaat alleen maar over juridische indekking. De privacy verklaringen beschermen vooral de maker van de App tegen claims en juridische procedures en niet de eindgebruiker. Je hebt zelf ingestemd met het delen van je gegevens toen je de App installeerde, deze begon te gebruiken of een account aanmaakte.

Wie weet wat de App doet met jouw gegevens?

Wat een App doet met jouw gegevens is vrijwel niet te achterhalen. Een App op jouw Apparaat – iPhone, iPad, , PC, Mac of wat dan ook – kan alle gegevens oppakken waar hij toegang tot heeft. En omdat Apps meestal via gecodeerde verbindingen communiceren kan een App alles verzenden wat hij wil zonder dat de gebruiker weet, of erachter kan komen, wat er verzonden wordt.

Zelfs als je het bedrijf vertrouwt, nadat jouw privégegevens op de servers van die App zijn opgeslagen, kan het bedrijf ermee doen wat het wil. Hoewel het privacybeleid kan zeggen dat de informatie niet wordt verkocht, kan het wel (z.g.n. gratis) worden ‘gedeeld met partners’ of iets dergelijks, wat eigenlijk op hetzelfde neerkomt. En wat gebeurt er als het bedrijf verkocht word aan een andere eigenaar? Gaat die ook zo netjes met jouw gegevens om? Ook kan de App zijn privacybeleid in de toekomst bijwerken om eerder verzamelde gegevens te kunnen delen. En wie zegt dat een bedrijf geen dingen doet met jouw gegevens die in strijd zijn met het privacybeleid? Dat is vrijwel niet te achterhalen.

Overweeg je beslissing daarom zorgvuldig wanneer een App toegang wil tot je contacten, foto’s of andere privégegevens. Weigeren het toestemmingsverzoek als je de App niet vertrouwt. Als je een oudere Android-App installeert, moet je de App niet installeren als die om machtigingen vraagt die je niet vertrouwd of liever niet geeft.

Blijf ook uit de buurt van browser-extensies die toegang willen tot jouw browsegeschiedenis, tenzij je erop vertrouwt dat het bedrijf die toegang niet misbruikt. Chrome-extensies worden vaak verkocht aan andere eigenaren, worden dan kwaadaardig en misbruiken hun toestemming om je te bespioneren of erger. De Chrome Web Store van Google worstelt met dit probleem en probeert het te voorkomen. Het is echter niet alleen een Chrome-probleem. ’s add-on site en add-ons/extensies van andere browsers hebben hetzelfde probleem.

Vertrouw niet op de App Store om je te vrijwaren van dit soort praktijken

Apple, Google, Microsoft en andere bedrijven met App-winkels geven weinig tot geen rugdekking als het om jouw gegevens gaat. Zelfs als het beleid van de winkel duidelijk is en gericht is op bescherming van de eindgebruiker, wordt dit niet noodzakelijkerwijs afgedwongen. Apple heeft blijkbaar zes maanden nodig om een ​​App te verwijderen die zich misdraagt, en dat geldt dan alleen voor de Apps waarvan bekend is dat ze zich misdragen. Google verwijdert ook voortdurend slechte Apps van . Chrome- en Firefox-extensies maken vaak misbruik van het vertrouwen dat gebruikers in de extensies stellen.

Het feit dat je een App uit een gerenommeerde App store krijgt, betekent nog niet dat die App store jouw gegevens beschermt. Je moet daarom (nog steeds) alleen Apps downloaden die je vertrouwt en voorzichtig zijn welke gegevens je deelt met die Apps. Als je een bedrijf niet vertrouwt, geef de App dan geen toegang tot jouw contacten of andere privégegevens die je niet wilt delen.

Het zou mooi zijn als we App-winkels zouden kunnen vertrouwen om de bescherming van onze privégegevens af te dwingen, maar tot op heden krijgen we alleen de verplichte kleine lettertjes. Je hoeft niet meteen in de stress te schieten, maar een gewaarschuwd mens telt voor twee: je kunt niet vertrouwen op Apple, Google, Microsoft of anderen om Apps netjes (lees privacy vriendelijk) te laten werken.

Dat betekent ook weer niet dat de App-winkels van Apple, Google en Microsoft slecht zijn. Ze doen in ieder geval hun best het zo veilig mogelijk te maken en zijn altijd nog veiliger dan de vele niet merk gebonden Appstores. Maar ze beschermen gebruikers niet zo goed als we zouden willen.

Afbeeldingen: Alexey Boldin/Shutterstock.com.

Deel deze post op:

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest

Blog Archief

Selecteer een maand

Zoek in het archief

Stel een vraag