Over tusind apps til Android sporer dig, selvom du ikke giver lov

9. juli 2019 kl. 09:0730
I en undersøgelse har forskere fundet frem til 1.325 applikationer, som omgik det manglende brugersamtykke. Applikationerne hev lokations- og personoplysninger fra eksempelvis wifi-forbindelser eller metadata fra brugernes billeder.
Christoffer Elmann Ranhauge
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Christoffer Elmann Ranhauge

Der kan være tale om falsk tryghed, når Android-brugere bliver spurgt om tilladelse til, at applikationer må høste data fra deres telefon. Over tusind applikationer suger nemlig af omveje data om eksempelvis lokation, selvom brugerne har afvist at give tilladelse til dette.

Det skriver Cnet på baggrund af en forskningsartikel fra et hold af forskere fra blandt andet University of California i Berkeley.

Forskerholdet har undersøgt mere end 88.000 applikationer til Android og har konkluderet, at op mod 1.325 applikationer indsamlede data fra enhederne, selvom der udtrykkeligt var blevet nægtet tilladelse.

Applikationerne omgik det manglende brugersamtykke med kode, som hev personoplysninger fra eksempelvis wifi-forbindelser eller metadata fra brugernes billeder.

Artiklen fortsætter efter annoncen

Serge Egelman er en af forskerne bag undersøgelsen, og han fremlagde opdagelserne på en sikkerhedskonference i juni. Her påpegede han, at forbrugerne i forvejen har meget få værktøjer, som de kan bruge til at kontrollere deres privatliv med.

»Hvis App-udviklere bare kan omgå systemet, så er det relativt meningsløst at spørge brugere om tilladelse,« sagde han på konferencen ifølge Cnet.

Google er blevet orienteret om undersøgelsens resultater af forskerne, og virksomheden har oplyst, at der vil blive taget hånd om problemerne i Android Q, som forventes at blive lanceret senere i år.

Fokus
Emner
30 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
29
Christian Nobel
14. juli 2019 kl. 23:58

2) Gå ind på <a href="https://www.xda-developers.com/">https://www.xda-developers.com/</a&gt; og søg efter telefonen med navne koden.

Desværre er der mange fabrikanter, f.eks. Huawei som låser bootloaderen godt og grundigt af "for-at-beskytte-kunden", så apparatet ikke er til at hugge eller stikke i.

En generel anbefaling før man køber en ny telefon/tablet - undersøg om den er står på Ken's "white list", eller er at finde listen over telefoner der kan installeres LineageOS på:https://www.lineageos.org/

  • more_vert
    • insert_linkKopier link
28
Ken Prieto
14. juli 2019 kl. 23:07

@Peter Kyllesbeck Du har selv nævnt et billedediteringsapp, så du må have en fortsat god sommer...

  • more_vert
    • insert_linkKopier link
27
Peter Kyllesbeck
14. juli 2019 kl. 11:15

Dine kommentarer er stadig kun synlige i oversigten:

Fejl: Kommentaren, som du svarer på, eksisterer ikke længere.

Re: @Ken Prieto</p>
<p><em>Hvis app'en er en billedediteringsapp, der arbejder på de gemte billeddata, udfører den nok ikke operationer vha det omgivende system.</em></p>
<p>Jeg har allerede svaret omrking dette, man skal se om jeg kan korte det ned så det kan ses kort, selvom at det nok ikke er fyldestgørende... Man giver da ikke en app til billedredigering internet adgang, for så beder man selv om problemer.

[ironi] Nej man deler da ikke sine billeder med andre eller gemmer dem i skyen. [/ironi]

  • more_vert
    • insert_linkKopier link
24
Peter Kyllesbeck
13. juli 2019 kl. 10:57

Du forstå det stadig ikke.

Og prøver man at svare på din kommentar, får man:

Fejl: Kommentaren, som du svarer på, eksisterer ikke længere.

Din kommentar:

Jeg prøver lige at svare en gang til, siden mine svar af en eller anden årsag har svært ved komme igennem.</p>
<p>X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder og deres Exif- data.

Hvis app'en er en billedediteringsapp, der arbejder på de gemte billeddata, udfører den nok ikke operationer vha det omgivende system.

  • more_vert
    • insert_linkKopier link
23
Ken Prieto
13. juli 2019 kl. 01:25

Pga. en fejl i debatforummet, kan jeg ikke læse dit svar. (Det er meldt til support- der dog ikke har svaret)

Jeg prøver lige at svare en gang til, siden mine svar af en eller anden årsag har svært ved komme igennem.

X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder og deres Exif- data. Der er en liste over operationer, som Android lader apps udføre, for hver gang en app skal udføre en operation, så er den nød til at kalde en API, og dette kan man blokerer med X Privacy. Når en app har adgang til billeder, så er det bedst kun at give den adgang til en session ad gangen, sådan at den netop heller ikke kan forsøge at sende informationer hjem til moderskibet. Hvis man derefter sletter applikationens lokale hukommels efter hvert brug, så har den jo heller ikke noget data den kan annalyser.

Omstændigt, ja, men det giver stadig en mullighed for at blokere at der udføres annalyse af Exif-data i billeder.

F.eks. så bruger jeg VLC på Android, og den vil gerne annalyser video data på telefonen, hvorved der kommer thumbnails i applikationen, og videor hurtigere kan startes op. Efter hvert brug, så sletter jeg VLCs lokale hukkommelse, og den spørger mig om de samme ting, hver gang jeg starter den op, og VLC er blokeret fra nogen sinde at tilgå internettet på nogen måde. Omstænsigt, ja, men stadig mulligt.

Nu er VLC ikke den mest lyssky app jeg kender, for at sige det mildt, men princippet gælder for all apps.

I X Privacy står der hvor mange gange en bestemt API er tilgået, og hvis en applikation forsøger at tilgå billeder mere end en gang, i løbet af den korte tid som jeg selv har bedt den om, så ved jeg at applikationen forsøger på mere end den er blevet bedt om (Apropo måske at udlede Exif-data) Derefter kan jeg enten fjerne applikationen, eller undersøge tingene nærmere.

Basalt set så er der kun to ting på telefonen som behøver internet adgang 24/7, og de kunne være hvis man bruger en VPN og en VOIP/Chat app, hvis man gerne vil være tilgengældig 24/7.

Så det korte og det lange er, at man kan blokerer Apps fra at annalyserer billeder, hvis man rooter sin telefon, og har man også anskaffet sig en god Firewall, så er man rimelig godt startet op.

  • more_vert
    • insert_linkKopier link
22
Peter Kyllesbeck
12. juli 2019 kl. 17:59

Pga. en fejl i debatforummet, kan jeg ikke læse dit svar. (Det er meldt til support- der dog ikke har svaret)

Jeg kan i oversigten se (i den del jeg kan læse), at du ikke har forstået, at billeddata kan indeholde en lokation. Exif- data kan indeholde en geolocation - altså optagested for billedet.

https://en.wikipedia.org/wiki/Exif#Geolocation

Så hvis man med indstillingen af kameraet tillader geolokation, vil en app med tilladelse til at læse billeder kunne uddrage lokationen.

Denne app har altså ikke tilgået lokationen i telefonen men i data den har fået adgangstilladelse til.

  • more_vert
    • insert_linkKopier link
21
Ken Prieto
12. juli 2019 kl. 15:19

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet.

X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder. Der er en liste over operationer, som Android lader apps udføre, for hver gang en app skal udføre en operation, så er den nød til at kalde en API, og dette kan man blokerer med X Privacy. Når en app har adgang til billeder, så er det bedst kun at give den adgang til en session ad gangen, sådan at den netop heller ikke kan forsøge at sende informationer hjem til moderskibet.

Så det korte og det lange er, man kan blokerer Apps fra at annalyserer billeder, hvis man rooter sin telefon, og har man også anskaffet sig en god Firewall, så er man rimelig godt startet op.

Uploader man sine billeder til en online portal som Facebook, så har man også selv bedt om problemer, og dette kan X Privacy ikke gøre så meget ved, da det er en "Fejl 40".

  • more_vert
    • insert_linkKopier link
20
Ken Prieto
12. juli 2019 kl. 14:43

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet.

X Privacy ændre da i den grad spillet mellem Google og forbugeren, for med X Privacy kan man detaljeret og i realtid se, ændre og blokerer for beføjelser, inklusiv hvis de skulle begynde at annalyserer billeder.

Man kan decideret gå ind og blokerer, hvilke former for operationer, som de enkelte apps kan udføre.

Tilsammen med en god Firewall, så er man rimelig godt startet op.

  • more_vert
    • insert_linkKopier link
19
Ken Prieto
11. juli 2019 kl. 19:56

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet

Jo det ændre faktisk på hele spillet mellem Google og forbrugerne, for med X Privacy og LightningWall (Eller anden ligeså god Firewall), så kan man i realtid og granuleret se hvilke aplikationer der udføre vise handlinger, og bloker dem.

Her er et gammelt udpluk af hvad Camscanner fortager sig på telefonen, og det samme for Easy Voice Recorder, bare ikke nær så meget:

https://ibb.co/m9xdzYk

Jeg blev overrasket da jeg kiggede på min egen telefon, og fandt ud af, at radioen på en Android telefon forsøgte at kontakte en Google server 15.685 gange i løbet af en dag.

Heldigvis havde telefonen ikke internet opkobling, før jeg fik sat en stopper for det hele.

  • more_vert
    • insert_linkKopier link
17
Anne-Marie Krogsbøll
11. juli 2019 kl. 08:31

Hvis man læser artiklen på Cnet afsløres et par måder at omgå blokeringen for lokation.
Den ene er lokation gemt i billeder, som man har givet den skyldige app adgang til. Den anden er via adgang til WiFi at grave MAC-adressen og dermed lokationen frem.

Peter Kyllesbeck: Tak for svar. At det foregår - måske uden Googles vidende (jeg tvivler) - via 3. parts apps, er ingen undskydlning for, at Google ikke simpelthen blokerer og blacklister disse apps, når de bliver gjort opmærksomme på problemet. I stedet "sparker de det til hjørne", for mig at se.

Og hvis det kan fixes i en opdatering - så er det vel som udgangspunkt en fejl i Googles program, at denne snagen kan lade sig gøre?

  • more_vert
    • insert_linkKopier link
16
Ken Prieto
11. juli 2019 kl. 00:51

Hvis man gerne vil forhindre at aplikationer på Android snager i telefonen, så er man nød til at roote telefonen.

  1. Find Android telefonens navne kode (f.eks. har Galaxy A3 2015 koden "SM-300FU"
  2. Gå ind på https://www.xda-developers.com/ og søg efter telefonen med navne koden.
  3. Find den korresponderende guide til at roote telefonen (Der findes mange guides, så vær forsigtig med ikke at vælge den forkerte telefon, og læs selvfølgelig disclaimer).
  4. Når telefoen er rootet, så læs lidt omkring og download system udvidelsen Xposed Framework her https://www.xda-developers.com/xposed-framework-hub/ .
  5. Når Xposed Framwork er oppe og køre, download X Privacy via https://apkpure.com/root-x-privacy-installer/biz.bokhorst.xprivacy.installer eller hvis man har google play, så her https://play.google.com/store/apps/details?id=biz.bokhorst.xprivacy.installer&hl=en .
  6. Fjern beføjelser fra de forskellige aplikationer, som man ikke ønsker de skal have (Der er MANGE).

Denne guide kræver at man kender lidt til custom recovery, og er villig til at rissikere at det kan gå galt i processen.

Det kan rekomenderes at fjerne alt hvad der har med Google at gøre som f.eks. Google services, Google services framework, Google play, Google music, Google accounts osv. som det mindste, hvis man ønsker at blive fri for Google. I stedet for Google Play, så kan man bruge Yalp Store som findes her https://f-droid.org/en/packages/com.github.yeriomin.yalpstore/ , og er et billede af alt hvad der findes på Google Play. Der er vise ting der dog ikke kommer til at virke, såfremt man fjerner Google support systemer, da mange aplikationer bruger Googles support systemer, og deraf noget af grunden til at Android i praksis ikke er frit (Free as in speech: https://www.howtogeek.com/howto/31717/what-do-the-phrases-free-speech-vs.-free-beer-really-mean/)

Derudover findes der en anden mullighed meget snart, da Librem5 udkommer i tredje kvartal i år: https://puri.sm/products/librem-5/ . Det kan ikke garanteres hvordan telefonen endelig bliver i tredje kvartal, men jeg vil sige at jeg stoler LANGT mere på Pursims end på Google.

PS. En Firewall kan rekomenderes på Android, blandt andet denne: https://repo.xposed.info/module/de.defim.apk.lightningwall

  • more_vert
    • insert_linkKopier link
15
Peter Kyllesbeck
10. juli 2019 kl. 20:39

Eller så har jeg misforstået noget.

I mine øjne har Google et ansvar for, at de apps, de tillader, overholder love og regler, og respekterer privatliv.

Hvis man læser artiklen på Cnet afsløres et par måder at omgå blokeringen for lokation. Den ene er lokation gemt i billeder, som man har givet den skyldige app adgang til. Den anden er via adgang til WiFi at grave MAC-adressen og dermed lokationen frem.

PS Det erikke muligt at indsætte det link til Cnet, som findes i øverst.

  • more_vert
    • insert_linkKopier link
13
Anne-Marie Krogsbøll
10. juli 2019 kl. 19:11

Hvilken regler og love er det, du mener Google ikke overholder?

For mig lyder historien som en ny udgave af Cambridge Analytica-sagen, hvor Facebook enten bevidst tillod, eller lukkede øjnene for, at 3. parts apps ulovligt høstede data (eller noget i den retning). Hvilket vist ikke var helt lovligt? I mine øjne har Google et ansvar for, at de apps, de tillader, overholder love og regler, og respekterer privatliv. Og at "tage hånd om problemet" engang senere er helt utilstrækkeligt. De pågældende apps bør jo simpelthen smides ud og blacklistes.

  • more_vert
    • insert_linkKopier link
12
Hans Nielsen
10. juli 2019 kl. 19:07

Hvilken regler og love er det, du mener Google ikke overholder?

Stort set alt i GDPR ?

Eller så har jeg misforstået noget.

Du må også huske at 3 part også gælder goolges play, hvor de på grund af deres ejerskab også skal sikker at aller de aplicationer som findes der overholder GPDR. Det kan man ikke skrive sig ud af via en OEM, elle EMULA.

Jeg tror at google efter hånden kommer til at betale 20 procent af EU sundhedsvæsent, eller retter ind.

  • more_vert
    • insert_linkKopier link
11
Hans Nielsen
10. juli 2019 kl. 19:03

Seriøst, hvordan vil du forhindre, at man som en bedre Sherlock Holmes stykker delinformationer sammen og derved får deduceret sig frem til plausible oplysninger.

Give en bøde på et par millarde, og hvis det ikke hjælper fordoble dem, 10 dobble eller 100 gange dem.

Hvis det ikke hjælper børder, fængsel til personer i firmaer som om går det.

Hvis det ikke hjælper så. Tror ikke det er nødvendigt med mere. Kan huske at swiss banker hurtirgt rette ind, da de blev stillet over for kravet om ikke at kunne handle i doller, samt en skat på 40 Procent på alt handle ud af landet fra USA. (fra hukomelsen) Et tilsvarnede tiltag fra EU vil være langt dyre, da vi er verdens største økonomi.

Det er nemt at forhindre eller minske svindel, især når man har et firma som kan betale ved kasse et.

Og hvis du mener det ikke er plausible, så er de jo allerede igang. Tror ikke at efter følgen til margrete auken vil være pænere :-)

Hvad tror du ikke på, store bøder eller beviser ?

  • more_vert
    • insert_linkKopier link
10
Peter Kyllesbeck
10. juli 2019 kl. 10:36

Når Henrik Eriksen seriøst mener, at der ikke er noget at gøre ved det, så ligger der jo der i, at vi ikke kan få disse firmaer til at overholde lovene - og i så fald, hvis han har ret - er det en undergravelse af demokratiet. Og den undergravelse er et kup, som vi ikke skal bøje os for uden kamp - selv om vi på individ-niveau kan undlade at bruge apps-ene. Undergravelse af demokratiet rammer os alle - også os uden smartphones.

Seriøst, hvordan vil du forhindre, at man som en bedre Sherlock Holmes stykker delinformationer sammen og derved får deduceret sig frem til plausible oplysninger.

Hvilken regler og love er det, du mener Google ikke overholder? At tredjepartsapps indirekte slutter sig til informationer er nok ikke nemt at gardere sig imod. Det er jo disse apps, der (måske) bryder regler og love.

  • more_vert
    • insert_linkKopier link
9
Anne-Marie Krogsbøll
10. juli 2019 kl. 09:54

Tilføjelse til Kyllesbeck:

Når Henrik Eriksen seriøst mener, at der ikke er noget at gøre ved det, så ligger der jo der i, at vi ikke kan få disse firmaer til at overholde lovene - og i så fald, hvis han har ret - er det en undergravelse af demokratiet. Og den undergravelse er et kup, som vi ikke skal bøje os for uden kamp - selv om vi på individ-niveau kan undlade at bruge apps-ene. Undergravelse af demokratiet rammer os alle - også os uden smartphones.

  • more_vert
    • insert_linkKopier link
8
Anne-Marie Krogsbøll
10. juli 2019 kl. 09:46

Der er vist ingen, der tvinger dig til at benytte deres produkter. ;-)

Det er vist efterhånden svært helt at undgå... Selv det offentlige jager f.eks. ledige i armene på Google (læs Markus Bernsen: Danmark Disrupted). Og selv når det er frivilligt at bruge, skal det da ikke være frivilligt for Google at overholde love og regler.

Og mon ikke også venner og kontaktpersoner, som ikke selv har disse apps (jeg har ingen), ad omveje ryger med i fælderne? Det er da set før, så vidt jeg husker - ikke bare Facebook-bruger aflures, men da vist også deres kontakter og korrespondancer?

  • more_vert
    • insert_linkKopier link
7
Peter Kyllesbeck
10. juli 2019 kl. 09:36

Ja, men det hjælper jo ikke, hvis apps uden videre kan omgå disse instillinger.

Nu står der jo, at applikationer suger nemlig af omveje data om eksempelvis lokation, hvilket sikkert kan gøres på mange måder (bemærk 'omveje'). Det antyder jo, at man ved indirekte oplysninger kan deducere sig til oplysninger, man som bruger har blokeret direkte adgang til.

Det understreger så min pointe, at disse firmaer undergraver demokratiet....</p>
<p>Men vi er alligevel en del, som ikke vil underkaste os uden kamp.

Der er vist ingen, der tvinger dig til at benytte deres produkter. ;-)

  • more_vert
    • insert_linkKopier link
6
Hans Nielsen
10. juli 2019 kl. 09:00

Når vi snakker tilliden til google, så er deres svar jo som bare som microsoft, hvor mange da har taget udtagelse som "i næste version eller opdatereing" som gode varer i mange år.

Det ser også ud til at den nye version, som sikkert er klar om et par måneder, vil løse nogle eller de fleste af de har problemmer.

Men der hvor kæden knækker for Gooogle, det er jo at det ikke er alle som får denne opdatering.

Og at de kunne allerrede nu, smide alle de firma ud fra play, som har overtrådt deres egne retningslinjer.

Det sidste viser at de i bund og grund ikke er intereseret i at stoppe ulovelige indsamling af data fra brugerene.

Men hvis nogle af de firmaer, som har lavet softwaren har afdelinger, eller samarbejder med firmaer i EU. Så er der vel mulighed for en GDPR bøde. Et NEJ til indsamling af positions data, det må betyde manglende samtykke ? :-)

  • more_vert
    • insert_linkKopier link
2
Anne-Marie Krogsbøll
9. juli 2019 kl. 17:26

Det frygtelige er, at mange af vore sundhedspolitikere og forskere er meget forhippede på at samarbejde med Google - eks. om indsamling af sundhedsdata og andre data via disse apps. Der er ingen fine fornemmelser eller betænkeligheder, uanset hvor mange grimme historier der kommer frem om foretagendet. De såkaldt "legitime" forsknings- og samfundsmæssige interesser overskygger til hver en tid etiske, juridiske og moralske betænkeligheder. Det er ikke befordrende for den politiske vilje til at kontrollere disse foretagender og holde snor i dem.

  • more_vert
    • insert_linkKopier link
1
Henrik Sørensen
9. juli 2019 kl. 17:21

Man må blot konstatere, at det ikke er muligt at have tillid til Googles Android ...

Hov, havde vi en MEGA sikkerhedsbrist ... pyt, det retter vi i næste version ... hvornår er det lige at Datatilsynet kommer ind i kampen og giver Google en kæmpe kæmpe kæmpe bøde for at lade som om man har sikret brugernes data mens der bare er tale om kosmetik og data er tilgængelige ad bagvejen ... don’t tell me you didn’t know Google ...

Jeg mangler ord ...

  • more_vert
    • insert_linkKopier link