Wist je dat elke app in theorie precies kan bijhouden waar je bent, zonder dat je er vanaf weet?
Elke app die je installeert vraagt om bepaalde permissies: de ene app wil bij je camera kunnen, de ander wil informatie verzamelen over hoe vaak je belt, en sommige apps willen overal bij kunnen. Waarom moet Candy Crush precies weten waar ik ben en waar ik ben geweest via GPS? De helft van de tijd is het niet duidelijk waarom de meeste apps zoveel vrijheid en informatie nodig hebben, maar we zijn gewend om het gewoon maar te accepteren. We willen tenslotte de betreffende app gebruiken. Het is eng hoeveel ontwikkelaars over ons (kunnen) weten, dat wisten we al, maar een paper geschreven door Amerikaanse onderzoekers laat zien hoe schrikbarend makkelijk het kan zijn om elke gebruiker te bespioneren.
Onderzoekers van Stanford University en de Israelische defensie onderzoeks-groep Rafael hebben een techniek ontwikkeld genaamd PowerSpy, waarmee informatie verzameld kan worden over waar een Android-gebruiker is door simpelweg in de gaten te houden “hoeveel” batterij er verbruikt wordt. Het enge aan de techniek is dat elke app zonder permissie in de gaten mag houden hoe het met je batterijverbruik gaat, dus elke app zou het potentieel kunnen misbruiken. De onderzoekers beweren dat de methode met 90% zekerheid kan vaststellen waar je heen gaat, al is het huidige prototype nog niet zover.
Spionnen zouden elke willekeurige app kunnen gebruiken voor illustere doeleinden. De slimme techniek werkt als volgt: Powerspy maakt gebruik van het feit dat de communicatie van je telefoon via netwerken batterij kost, in een bepaalde mate. Als de toren waarnaar het signaal verzonden wordt ver staat, of als er gebouwen in de weg staan, kan dat afgelezen worden door naar je batterijverbruik te kijken. De correlatie tussen batterijgebruik en variabelen als bijvoorbeeld de afstand tussen torens is zo sterk dat ontwikkelaars conclusies kunnen trekken uit de data, en het kunnen onderscheiden van ander batterijverbruik zoals bijvoorbeeld het spelen van een intens spelletje. En dat allemaal zonder toestemming te vragen. Elke app, of het nou een beroemde game of een simpele rekenmachine is, zou dus kunnen bijhouden waar je bent, of je het nou wilt of niet.
Voorlopig is de PowerSpy-techniek nog niet erg effectief: de ontwikkelaar moet eerst zelf langs de route van de gebruiker gelopen hebben om te kunnen bepalen waar de gebruiker is. Oftewel: ze vergelijken de patronen van de gebruiker met hun eigen tests. De onderzoekers reden zelf zeven routes in Californië en de Israëlische stad Haifa. Daarna vergeleken ze hun eigen data met het batterijverbruik van een andere Android-telefoon, terwijl het door enkele van de zeven routes reed. De onderzoekers wisten niet welke route de gebruiker koos, maar konden achteraf toch in 90% van de gevallen correct bepalen welke route het was. Als de onderzoekers meerdere malen de routes zouden rijden met verschillende telefoons, kunnen er preciezere profielen voor elke route worden bepaald. Op dit moment is de techniek dus meer een theorie dan iets wat in de praktijk al werkt, al zijn de eerste tests veelbelovend.
Ondanks de relatieve beperkingen van de PowerSpy-techniek is het toch duidelijk dat het een privacy-probleem is waar Google echt aan moet gaan werken. Het is niet de eerste keer dat de onderzoekers een privacy-probleem blootleggen. Vorig jaar wist dezelfde groep gyroscopen te gebruiken als (een hele beperkte) microfoon, waarmee bijvoorbeeld het geslacht van gebruikers bepaald kon worden. Wil je meer lezen over PowerSpy en de eventuele gevolgen? Hier kan je het onderzoek vinden.
