Androidtoestellen worden vaak geleverd met vooraf geïnstalleerde apps van de fabrikant zelf en andere partijen die een risico kunnen vormen voor de privacy en security van gebruikers. Dat blijkt uit onderzoek naar ruim 1700 Androidtelefoons afkomstig van meer dan 200 leveranciers.
Door de openheid van het Androidplatform kunnen fabrikanten een eigen versie van het besturingssysteem op hun toestellen zetten, bijvoorbeeld aangevuld met allerlei apps. Veel gebruikers zitten niet op deze software te wachten, waardoor vooraf geïnstalleerde apps vaak "bloatware" worden genoemd, aldus de onderzoekers (pdf).
Voor het onderzoek werden 424.000 unieke firmwarebestanden geanalyseerd. Slechts 9 procent van de verzamelde APK-bestanden was ook op Google Play terug te vinden. Vervolgens werd van 139.000 apps, waaronder vooraf geïnstalleerde apps, het verkeer bekeken. Ook werd bijna de helft van de apps in de dataset via statische en dynamische analyse onderzocht.
"Ons onderzoek laat zien dat een groot deel van de vooraf geïnstalleerde software potentieel schadelijk of ongewenst gedrag vertoont. Hoewel het bekend is dat het verzamelen van persoonlijke informatie en het tracken van gebruikers veel voorkomt in het Androidapp-ecosysteem, komt het ook veel voor in vooraf geïnstalleerde apps", aldus de onderzoekers.
In veel gevallen houden apps zich bezig met tracking en het tonen van advertenties, maar bij een aantal toestellen bleek er ook bekende malware geïnstalleerd te zijn. "Dit onderzoek maakt duidelijk dat, mede door de open source aard van het Androidplatform en de complexiteit van de supply chain, organisaties van allerlei soorten en maten de mogelijkheid hebben om hun software aan aangepaste Androidversies toe te voegen", zo concluderen de onderzoekers.
Volgens de onderzoekers vormt deze situatie een gevaar voor de privacy van gebruikers en zelfs hun security, door een misbruik van rechten of als gevolg van slechte software-engineering waardoor kwetsbaarheden en gevaarlijke backdoors worden geïntroduceerd. De onderzoekers pleiten er dan ook voor om het Android-ecosysteem transparanter te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.
Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...
Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...
Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.