Over tusind apps til Android sporer dig, selvom du ikke giver lov

I en undersøgelse har forskere fundet frem til 1.325 applikationer, som omgik det manglende brugersamtykke. Applikationerne hev lokations- og personoplysninger fra eksempelvis wifi-forbindelser eller metadata fra brugernes billeder.

Der kan være tale om falsk tryghed, når Android-brugere bliver spurgt om tilladelse til, at applikationer må høste data fra deres telefon. Over tusind applikationer suger nemlig af omveje data om eksempelvis lokation, selvom brugerne har afvist at give tilladelse til dette.

Det skriver Cnet på baggrund af en forskningsartikel fra et hold af forskere fra blandt andet University of California i Berkeley.

Forskerholdet har undersøgt mere end 88.000 applikationer til Android og har konkluderet, at op mod 1.325 applikationer indsamlede data fra enhederne, selvom der udtrykkeligt var blevet nægtet tilladelse.

Applikationerne omgik det manglende brugersamtykke med kode, som hev personoplysninger fra eksempelvis wifi-forbindelser eller metadata fra brugernes billeder.

Serge Egelman er en af forskerne bag undersøgelsen, og han fremlagde opdagelserne på en sikkerhedskonference i juni. Her påpegede han, at forbrugerne i forvejen har meget få værktøjer, som de kan bruge til at kontrollere deres privatliv med.

»Hvis App-udviklere bare kan omgå systemet, så er det relativt meningsløst at spørge brugere om tilladelse,« sagde han på konferencen ifølge Cnet.

Google er blevet orienteret om undersøgelsens resultater af forskerne, og virksomheden har oplyst, at der vil blive taget hånd om problemerne i Android Q, som forventes at blive lanceret senere i år.

Læs også: AP: Google sporer dine bevægelser, om du vil det eller ej

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Sørensen

Man må blot konstatere, at det ikke er muligt at have tillid til Googles Android ...

Hov, havde vi en MEGA sikkerhedsbrist ... pyt, det retter vi i næste version ... hvornår er det lige at Datatilsynet kommer ind i kampen og giver Google en kæmpe kæmpe kæmpe bøde for at lade som om man har sikret brugernes data mens der bare er tale om kosmetik og data er tilgængelige ad bagvejen ... don’t tell me you didn’t know Google ...

Jeg mangler ord ...

  • 5
  • 1
Anne-Marie Krogsbøll

Det frygtelige er, at mange af vore sundhedspolitikere og forskere er meget forhippede på at samarbejde med Google - eks. om indsamling af sundhedsdata og andre data via disse apps. Der er ingen fine fornemmelser eller betænkeligheder, uanset hvor mange grimme historier der kommer frem om foretagendet. De såkaldt "legitime" forsknings- og samfundsmæssige interesser overskygger til hver en tid etiske, juridiske og moralske betænkeligheder. Det er ikke befordrende for den politiske vilje til at kontrollere disse foretagender og holde snor i dem.

  • 1
  • 1
Hans Nielsen

Når vi snakker tilliden til google, så er deres svar jo som bare som microsoft, hvor mange da har taget udtagelse som "i næste version eller opdatereing" som gode varer i mange år.

Det ser også ud til at den nye version, som sikkert er klar om et par måneder, vil løse nogle eller de fleste af de har problemmer.

Men der hvor kæden knækker for Gooogle, det er jo at det ikke er alle som får denne opdatering.

Og at de kunne allerrede nu, smide alle de firma ud fra play, som har overtrådt deres egne retningslinjer.

Det sidste viser at de i bund og grund ikke er intereseret i at stoppe ulovelige indsamling af data fra brugerene.

Men hvis nogle af de firmaer, som har lavet softwaren har afdelinger, eller samarbejder med firmaer i EU. Så er der vel mulighed for en GDPR bøde. Et NEJ til indsamling af positions data, det må betyde manglende samtykke ? :-)

  • 2
  • 0
Peter Kyllesbeck

Ja, men det hjælper jo ikke, hvis apps uden videre kan omgå disse instillinger.


Nu står der jo, at applikationer suger nemlig af omveje data om eksempelvis lokation, hvilket sikkert kan gøres på mange måder (bemærk 'omveje').
Det antyder jo, at man ved indirekte oplysninger kan deducere sig til oplysninger, man som bruger har blokeret direkte adgang til.

Det understreger så min pointe, at disse firmaer undergraver demokratiet....

Men vi er alligevel en del, som ikke vil underkaste os uden kamp.


Der er vist ingen, der tvinger dig til at benytte deres produkter. ;-)

  • 0
  • 2
Anne-Marie Krogsbøll

Der er vist ingen, der tvinger dig til at benytte deres produkter. ;-)


Det er vist efterhånden svært helt at undgå... Selv det offentlige jager f.eks. ledige i armene på Google (læs Markus Bernsen: Danmark Disrupted). Og selv når det er frivilligt at bruge, skal det da ikke være frivilligt for Google at overholde love og regler.

Og mon ikke også venner og kontaktpersoner, som ikke selv har disse apps (jeg har ingen), ad omveje ryger med i fælderne? Det er da set før, så vidt jeg husker - ikke bare Facebook-bruger aflures, men da vist også deres kontakter og korrespondancer?

  • 5
  • 1
Anne-Marie Krogsbøll

Tilføjelse til Kyllesbeck:

Når Henrik Eriksen seriøst mener, at der ikke er noget at gøre ved det, så ligger der jo der i, at vi ikke kan få disse firmaer til at overholde lovene - og i så fald, hvis han har ret - er det en undergravelse af demokratiet. Og den undergravelse er et kup, som vi ikke skal bøje os for uden kamp - selv om vi på individ-niveau kan undlade at bruge apps-ene. Undergravelse af demokratiet rammer os alle - også os uden smartphones.

  • 2
  • 1
Peter Kyllesbeck

Når Henrik Eriksen seriøst mener, at der ikke er noget at gøre ved det, så ligger der jo der i, at vi ikke kan få disse firmaer til at overholde lovene - og i så fald, hvis han har ret - er det en undergravelse af demokratiet. Og den undergravelse er et kup, som vi ikke skal bøje os for uden kamp - selv om vi på individ-niveau kan undlade at bruge apps-ene. Undergravelse af demokratiet rammer os alle - også os uden smartphones.


Seriøst, hvordan vil du forhindre, at man som en bedre Sherlock Holmes stykker delinformationer sammen og derved får deduceret sig frem til plausible oplysninger.

Hvilken regler og love er det, du mener Google ikke overholder?
At tredjepartsapps indirekte slutter sig til informationer er nok ikke nemt at gardere sig imod. Det er jo disse apps, der (måske) bryder regler og love.

  • 1
  • 2
Hans Nielsen

Seriøst, hvordan vil du forhindre, at man som en bedre Sherlock Holmes stykker delinformationer sammen og derved får deduceret sig frem til plausible oplysninger.

Give en bøde på et par millarde, og hvis det ikke hjælper fordoble dem, 10 dobble eller 100 gange dem.

Hvis det ikke hjælper børder, fængsel til personer i firmaer som om går det.

Hvis det ikke hjælper så.
Tror ikke det er nødvendigt med mere. Kan huske at swiss banker hurtirgt rette ind, da de blev stillet over for kravet om ikke at kunne handle i doller, samt en skat på 40 Procent på alt handle ud af landet fra USA. (fra hukomelsen) Et tilsvarnede tiltag fra EU vil være langt dyre, da vi er verdens største økonomi.

Det er nemt at forhindre eller minske svindel, især når man har et firma som kan betale ved kasse et.

Og hvis du mener det ikke er plausible, så er de jo allerede igang. Tror ikke at efter følgen til
margrete auken vil være pænere :-)

Hvad tror du ikke på, store bøder eller beviser ?

  • 1
  • 1
Hans Nielsen

Hvilken regler og love er det, du mener Google ikke overholder?


Stort set alt i GDPR ?

Eller så har jeg misforstået noget.

Du må også huske at 3 part også gælder goolges play, hvor de på grund af deres ejerskab også skal sikker at aller de aplicationer som findes der overholder GPDR. Det kan man ikke skrive sig ud af via en OEM, elle EMULA.

Jeg tror at google efter hånden kommer til at betale 20 procent af EU sundhedsvæsent, eller retter ind.

  • 3
  • 1
Anne-Marie Krogsbøll

Hvilken regler og love er det, du mener Google ikke overholder?


For mig lyder historien som en ny udgave af Cambridge Analytica-sagen, hvor Facebook enten bevidst tillod, eller lukkede øjnene for, at 3. parts apps ulovligt høstede data (eller noget i den retning). Hvilket vist ikke var helt lovligt? I mine øjne har Google et ansvar for, at de apps, de tillader, overholder love og regler, og respekterer privatliv. Og at "tage hånd om problemet" engang senere er helt utilstrækkeligt. De pågældende apps bør jo simpelthen smides ud og blacklistes.

  • 2
  • 0
Peter Kyllesbeck

Eller så har jeg misforstået noget.

I mine øjne har Google et ansvar for, at de apps, de tillader, overholder love og regler, og respekterer privatliv.

Hvis man læser artiklen på Cnet afsløres et par måder at omgå blokeringen for lokation.
Den ene er lokation gemt i billeder, som man har givet den skyldige app adgang til. Den anden er via adgang til WiFi at grave MAC-adressen og dermed lokationen frem.

PS Det erikke muligt at indsætte det link til Cnet, som findes i øverst.

  • 0
  • 0
Ken Prieto

Hvis man gerne vil forhindre at aplikationer på Android snager i telefonen, så er man nød til at roote telefonen.

1) Find Android telefonens navne kode (f.eks. har Galaxy A3 2015 koden "SM-300FU"
2) Gå ind på https://www.xda-developers.com/ og søg efter telefonen med navne koden.
3) Find den korresponderende guide til at roote telefonen (Der findes mange guides, så vær forsigtig med ikke at vælge den forkerte telefon, og læs selvfølgelig disclaimer).
4) Når telefoen er rootet, så læs lidt omkring og download system udvidelsen Xposed Framework her https://www.xda-developers.com/xposed-framework-hub/ .
5) Når Xposed Framwork er oppe og køre, download X Privacy via https://apkpure.com/root-x-privacy-installer/biz.bokhorst.xprivacy.insta... eller hvis man har google play, så her https://play.google.com/store/apps/details?id=biz.bokhorst.xprivacy.inst... .
6) Fjern beføjelser fra de forskellige aplikationer, som man ikke ønsker de skal have (Der er MANGE).

Denne guide kræver at man kender lidt til custom recovery, og er villig til at rissikere at det kan gå galt i processen.

Det kan rekomenderes at fjerne alt hvad der har med Google at gøre som f.eks. Google services, Google services framework, Google play, Google music, Google accounts osv. som det mindste, hvis man ønsker at blive fri for Google.
I stedet for Google Play, så kan man bruge Yalp Store som findes her https://f-droid.org/en/packages/com.github.yeriomin.yalpstore/ , og er et billede af alt hvad der findes på Google Play.
Der er vise ting der dog ikke kommer til at virke, såfremt man fjerner Google support systemer, da mange aplikationer bruger Googles support systemer, og deraf noget af grunden til at Android i praksis ikke er frit (Free as in speech: https://www.howtogeek.com/howto/31717/what-do-the-phrases-free-speech-vs...)

Derudover findes der en anden mullighed meget snart, da Librem5 udkommer i tredje kvartal i år: https://puri.sm/products/librem-5/ .
Det kan ikke garanteres hvordan telefonen endelig bliver i tredje kvartal, men jeg vil sige at jeg stoler LANGT mere på Pursims end på Google.

PS. En Firewall kan rekomenderes på Android, blandt andet denne: https://repo.xposed.info/module/de.defim.apk.lightningwall

  • 2
  • 0
Anne-Marie Krogsbøll

Hvis man læser artiklen på Cnet afsløres et par måder at omgå blokeringen for lokation.
Den ene er lokation gemt i billeder, som man har givet den skyldige app adgang til. Den anden er via adgang til WiFi at grave MAC-adressen og dermed lokationen frem.


Peter Kyllesbeck:
Tak for svar. At det foregår - måske uden Googles vidende (jeg tvivler) - via 3. parts apps, er ingen undskydlning for, at Google ikke simpelthen blokerer og blacklister disse apps, når de bliver gjort opmærksomme på problemet. I stedet "sparker de det til hjørne", for mig at se.

Og hvis det kan fixes i en opdatering - så er det vel som udgangspunkt en fejl i Googles program, at denne snagen kan lade sig gøre?

  • 0
  • 0
Ken Prieto

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet

Jo det ændre faktisk på hele spillet mellem Google og forbrugerne, for med X Privacy og LightningWall (Eller anden ligeså god Firewall), så kan man i realtid og granuleret se hvilke aplikationer der udføre vise handlinger, og bloker dem.

Her er et gammelt udpluk af hvad Camscanner fortager sig på telefonen, og det samme for Easy Voice Recorder, bare ikke nær så meget:

https://ibb.co/m9xdzYk

Jeg blev overrasket da jeg kiggede på min egen telefon, og fandt ud af, at radioen på en Android telefon forsøgte at kontakte en Google server 15.685 gange i løbet af en dag.

Heldigvis havde telefonen ikke internet opkobling, før jeg fik sat en stopper for det hele.

  • 0
  • 0
Ken Prieto

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet.

X Privacy ændre da i den grad spillet mellem Google og forbugeren, for med X Privacy kan man detaljeret og i realtid se, ændre og blokerer for beføjelser, inklusiv hvis de skulle begynde at annalyserer billeder.

Man kan decideret gå ind og blokerer, hvilke former for operationer, som de enkelte apps kan udføre.

Tilsammen med en god Firewall, så er man rimelig godt startet op.

  • 0
  • 0
Ken Prieto

Det ændrer jo ikke på, at f.eks. en app med tilladelse til at tilgå billeder kan udlede lokationen gemt i billeder, hvilket er det ene eksempel fra artiklen i Cnet.

X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder.
Der er en liste over operationer, som Android lader apps udføre, for hver gang en app skal udføre en operation, så er den nød til at kalde en API, og dette kan man blokerer med X Privacy.
Når en app har adgang til billeder, så er det bedst kun at give den adgang til en session ad gangen, sådan at den netop heller ikke kan forsøge at sende informationer hjem til moderskibet.

Så det korte og det lange er, man kan blokerer Apps fra at annalyserer billeder, hvis man rooter sin telefon, og har man også anskaffet sig en god Firewall, så er man rimelig godt startet op.

Uploader man sine billeder til en online portal som Facebook, så har man også selv bedt om problemer, og dette kan X Privacy ikke gøre så meget ved, da det er en "Fejl 40".

  • 0
  • 0
Peter Kyllesbeck

Pga. en fejl i debatforummet, kan jeg ikke læse dit svar. (Det er meldt til support- der dog ikke har svaret)

Jeg kan i oversigten se (i den del jeg kan læse), at du ikke har forstået, at billeddata kan indeholde en lokation.
Exif- data kan indeholde en geolocation - altså optagested for billedet.

https://en.wikipedia.org/wiki/Exif#Geolocation

Så hvis man med indstillingen af kameraet tillader geolokation, vil en app med tilladelse til at læse billeder kunne uddrage lokationen.

Denne app har altså ikke tilgået lokationen i telefonen men i data den har fået adgangstilladelse til.

  • 1
  • 0
Ken Prieto

Pga. en fejl i debatforummet, kan jeg ikke læse dit svar. (Det er meldt til support- der dog ikke har svaret)

Jeg prøver lige at svare en gang til, siden mine svar af en eller anden årsag har svært ved komme igennem.

X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder og deres Exif- data.
Der er en liste over operationer, som Android lader apps udføre, for hver gang en app skal udføre en operation, så er den nød til at kalde en API, og dette kan man blokerer med X Privacy.
Når en app har adgang til billeder, så er det bedst kun at give den adgang til en session ad gangen, sådan at den netop heller ikke kan forsøge at sende informationer hjem til moderskibet.
Hvis man derefter sletter applikationens lokale hukommels efter hvert brug, så har den jo heller ikke noget data den kan annalyser.

Omstændigt, ja, men det giver stadig en mullighed for at blokere at der udføres annalyse af Exif-data i billeder.

F.eks. så bruger jeg VLC på Android, og den vil gerne annalyser video data på telefonen, hvorved der kommer thumbnails i applikationen, og videor hurtigere kan startes op.
Efter hvert brug, så sletter jeg VLCs lokale hukkommelse, og den spørger mig om de samme ting, hver gang jeg starter den op, og VLC er blokeret fra nogen sinde at tilgå internettet på nogen måde.
Omstænsigt, ja, men stadig mulligt.

Nu er VLC ikke den mest lyssky app jeg kender, for at sige det mildt, men princippet gælder for all apps.

I X Privacy står der hvor mange gange en bestemt API er tilgået, og hvis en applikation forsøger at tilgå billeder mere end en gang, i løbet af den korte tid som jeg selv har bedt den om, så ved jeg at applikationen forsøger på mere end den er blevet bedt om (Apropo måske at udlede Exif-data)
Derefter kan jeg enten fjerne applikationen, eller undersøge tingene nærmere.

Basalt set så er der kun to ting på telefonen som behøver internet adgang 24/7, og de kunne være hvis man bruger en VPN og en VOIP/Chat app, hvis man gerne vil være tilgengældig 24/7.

Så det korte og det lange er, at man kan blokerer Apps fra at annalyserer billeder, hvis man rooter sin telefon, og har man også anskaffet sig en god Firewall, så er man rimelig godt startet op.

  • 0
  • 0
Peter Kyllesbeck

Du forstå det stadig ikke.

Og prøver man at svare på din kommentar, får man:

Fejl: Kommentaren, som du svarer på, eksisterer ikke længere.

Din kommentar:

Jeg prøver lige at svare en gang til, siden mine svar af en eller anden årsag har svært ved komme igennem.

X Privacy ændre da i den grad forholdet mellem Google og forbrugeren, for med X Privacy kan man i realtid gå ind og se hvilke operationer som en app udføre, og så kan man gå ind og blokere dem, selv hvis appen har adgang til billeder og deres Exif- data.

Hvis app'en er en billedediteringsapp, der arbejder på de gemte billeddata, udfører den nok ikke operationer vha det omgivende system.

  • 0
  • 0
Ken Prieto

Hvis app'en er en billedediteringsapp, der arbejder på de gemte billeddata, udfører den nok ikke operationer vha det omgivende system.

Jeg har allerede svaret omrking dette, man skal se om jeg kan korte det ned så det kan ses kort, selvom at det nok ikke er fyldestgørende... Man giver da ikke en app til billedredigering internet adgang, for så beder man selv om problemer.

  • 0
  • 0
Peter Kyllesbeck

Dine kommentarer er stadig kun synlige i oversigten:

Fejl: Kommentaren, som du svarer på, eksisterer ikke længere.

Re: @Ken Prieto

Hvis app'en er en billedediteringsapp, der arbejder på de gemte billeddata, udfører den nok ikke operationer vha det omgivende system.

Jeg har allerede svaret omrking dette, man skal se om jeg kan korte det ned så det kan ses kort, selvom at det nok ikke er fyldestgørende... Man giver da ikke en app til billedredigering internet adgang, for så beder man selv om problemer.

[ironi] Nej man deler da ikke sine billeder med andre eller gemmer dem i skyen.
[/ironi]

  • 0
  • 1
Christian Nobel

2) Gå ind på https://www.xda-developers.com/ og søg efter telefonen med navne koden.

Desværre er der mange fabrikanter, f.eks. Huawei som låser bootloaderen godt og grundigt af "for-at-beskytte-kunden", så apparatet ikke er til at hugge eller stikke i.

En generel anbefaling før man køber en ny telefon/tablet - undersøg om den er står på Ken's "white list", eller er at finde listen over telefoner der kan installeres LineageOS på:
https://www.lineageos.org/

  • 1
  • 0
Log ind eller Opret konto for at kommentere