'Gebruikers kunnen weinig doen tegen onveilige apps'
Tientallen Nederlandse Android-apps versturen persoonlijke gegevens via onbeveiligde verbindingen, zo bleek uit een onderzoek. Het vervelende voor appgebruikers is dat ze nauwelijks iets kunnen doen om zich te beschermen. Zes vragen aan NOS-techredacteur Rachid Finge.
Wat is precies het probleem?
Steeds meer apps hebben persoonlijke gegevens van ons nodig. Weer-apps willen weten waar je bent, reis-apps willen weten waar je heen gaat en dating-apps verzamelen nog veel meer persoonlijke informatie. Ook vereisen veel apps een wachtwoord. Veel van die gegevens worden via internet naar een server gestuurd, waar ze worden verwerkt of opgeslagen.
Het probleem zit 'm in de verbinding tussen de app en de server: die blijkt in veel gevallen niet of onvoldoende beveiligd. Het gevolg is dat kwaadwillenden met de verbinding kunnen meekijken en zo aan je persoonlijke gegevens komen.
Waarom is het slecht gesteld met de beveiliging?
Er zijn twee oorzaken: onwetendheid en nalatigheid.
Het wordt steeds makkelijker om apps te maken en tegelijkertijd stoppen we steeds meer privégegevens in apps. Dat is een gevaarlijke combinatie, omdat de kans daarmee groter is geworden dat je privégegevens terechtkomen in apps van onervaren ontwikkelaars. Het is maar de vraag of zij genoeg verstand hebben van beveiliging. De meeste ontwikkelaars hebben goede intenties, maar dat is niet voldoende.
De andere oorzaak, nalatigheid, heeft misschien wel te maken met het enthousiasme van appontwikkelaars. Ze hebben een fantastisch idee voor een app en gaan aan de slag. Beveiliging? Dat komt vaak als laatste aan de orde. Edward Snowden beklaagde zich daar begin dit jaar ook over: ontwikkelaars hebben te weinig oog voor beveiliging.
Lopen iPhone-gebruikers ook gevaar?
Ja. In dit onderzoek zijn weliswaar alleen Android-apps getest, maar het ligt voor de hand dat het ook misgaat bij iPhone- en iPad-apps. Of het probleem daar groter of kleiner is, valt zonder onderzoek niet te zeggen. Apple voert strenge controles uit voordat een app in de App Store verschijnt, strenger dan Google, maar dat is geen garantie dat er geen beveiligingsproblemen zijn.
Om welke apps gaat het?
Het beveiligingsbedrijf dat het onderzoek deed wil dat niet bekendmaken. Dat is wel zo verantwoord: als er nu een lijst komt met honderden apps die hun beveiliging niet op orde hebben, kan dat kwaadwillenden op slechte ideeën brengen. Beter is als het bedrijf contact zoekt met alle nalatige appontwikkelaars, al is dat wel een flinke klus.
Kan ik mezelf beschermen?
Dat is het vervelende: niet echt. Het is voor de gemiddelde gebruiker nauwelijks tot niet te zien dat een app via een onbeveiligde verbinding gevoelige gegevens verzendt.
Het enige wat je kunt doen, is zo min mogelijk gebruik maken van openbare Wifi-netwerken. Zulke netwerken zijn voor kwaadwillende hackers de voornaamste gelegenheid om misbruik te maken van een slecht beveiligde app.
Intussen is het hopen dat appontwikkelaars meer doen om hun beveiliging op orde te krijgen. Een verbinding beveiligen is niet heel moeilijk en op genoeg plekken wordt duidelijk uitgelegd hoe dat moet.
Kunnen appontwikkelaars aangepakt worden?
Nee, daar lijkt het niet op. Het College Bescherming Persoonsgegevens zou graag boetes uitdelen aan ontwikkelaars die privacygevoelige gegevens onveilig verzenden, maar heeft die mogelijkheid nu niet.
Boetes zouden best eens kunnen helpen: appmakers zullen twee keer nadenken over hun beveiliging voordat ze hun app beschikbaar maken voor het grote publiek.