image

Onderzoekers bezorgd over Google Play-onderdeel corona-apps

vrijdag 24 juli 2020, 16:33 door Redactie, 9 reacties

Onderzoekers van het Ierse Trinity College maken zich zorgen over het Google Play-onderdeel waarvan verschillende corona-apps gebruikmaken, omdat hierdoor data van gebruikers bij Google terechtkomt. Voor het onderzoek keken de onderzoekers naar de Duitse, Italiaanse, Zwitserse, Oostenrijkse, Spaanse, Poolse, Letse en Ierse corona-apps.

Deze apps bestaan uit twee onderdelen. Een app die door de gezondheidsautoriteit in het betreffende land is ontwikkeld en de Google/Apple Exposure Notification (GAEN) service. Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt.

Op Androidtoestellen wordt de service beheerd door Google en is onderdeel van Google Play Services. De onderzoekers maken zich zorgen over dit onderdeel. Zelfs bij een "privacybewuste" configuratie maakt Google Play Services elke twintig minuten verbinding met de servers van Google. Hierbij wordt het ip-adres van de telefoon doorgegeven. Daarnaast bevatten de requests die naar Google gaan "persistent identifiers" waardoor requests van hetzelfde adres aan elkaar zijn te koppelen. Zo zou het mogelijk zijn voor Google om een telefoon in de loop van de tijd nauwkeurig te volgen, zo stellen de onderzoekers.

Wanneer de "Usage & diagnostics" optie in Google Play Services staat ingeschakeld, wat standaard het geval is, zullen telemetriegegevens over het GAEN-gebruik naar Google worden gestuurd. Het gaat dan om het IMEI en hardware serienummer van de telefoon, telefoonnummer, wifi mac-adres en e-mailadres van de gebruiker met Google, alsmede informatie over de apps die op het toestel draaien. Gecombineerd met de mogelijkheid om gebruikers nauwkeurig te volgen is het volgens de onderzoekers lastig om een meer indringende dataverzamelingssetup voor te stellen.

Deze informatie wordt alleen door het inschakelen van Google Play Services verzameld, zelfs wanneer alle andere Google-services en instellingen zijn uitgeschakeld, gaan de onderzoekers verder. "Het lijkt daardoor onvermijdbaar voor gebruikers van GAEN-gebaseerde corona-apps op Android. Dit niveau van inbreuk lijkt niet te verenigen met de oproep voor algeheel gebruik door de bevolking", zo merken ze op. Volgens de onderzoekers is het Google Play Services-onderdeel van de corona-apps vanuit een privacystandpunt gezien dan ook "verontrustend".

Google laat in een reactie aan de onderzoekers weten dat het verzamelen van telemetriegegevens gebruikelijk binnen de industrie is en dat gebruikers via "Usage & diagnostics" het verzamelen van telemetriedata deels kunnen uitschakelen. Wanneer gebruikers de optie uitschakelen worden er inderdaad geen GAEN-telemetriegegevens met Google gedeeld, zo stellen de onderzoekers vast.

In hun rapport doen de onderzoekers drie aanbevelingen. Ten eerste moet er documentatie komen hoe Google Play Services op een zo'n privacyvriendelijke manier kan worden ingesteld bij het gebruik van een corona-app. Daarnaast moet het delen met Google eenvoudig zijn uit te schakelen en moeten overheden de governance van het GAEN-systeem herzien. De corona-apps zelf zijn namelijk goed onderzocht, maar dat geldt niet voor het GAEN-gedeelte, merken de onderzoekers op (pdf).

Reacties (9)
24-07-2020, 17:10 door Anoniem
"Uw privacy is gewaarborgd door de vele opt-out mogelijkheden." - Google
24-07-2020, 18:55 door Anoniem
Totaal zinloze discussie.. Android Google Instellingen Standaard apps die je niet kan verwijderen.

Wat valt er nog meer over te zeggen.

Resistance is futi...

Niet dat bij andere fabrikanten het veel beter is.
24-07-2020, 19:05 door Erik van Straten
Uit de PDF:
The broad nature of this data collection and the inability of users to change Google settings so as to opt out of it appears, on the face of it, in conflict with GDPR rules in Europe and we therefore recommend it be brought to the attention of the national data protection authorities. It also indicates that some caution is warranted by governments and health authorities currently promoting widespread use of their contact tracing apps.
Dat de "Privacy Shield" overeenkomst tussen EU en USA ongeldig is verklaard (https://www.security.nl/posting/664600/Europees+hof+verklaart+Privacyschild-verdrag+met+VS+ongeldig) helpt hier ook niet bij.
24-07-2020, 19:41 door [Account Verwijderd]
@Erik
Het is maar goed dat de Nederlandse overheid Google buiten de scope van de corona app ziet. Anders zou het helemaal nooit een positief advies van de AP krijgen.
24-07-2020, 20:52 door Erik van Straten
Door Anoniem: Resistance is futi..
Net als de Borg willen ze je dat laten denken, maar het klopt niet. Je moet alleen niet denken dat je indruk maakt als één landje. Als de EU de boetes hoog genoeg maakt is de "industry practice" van het ongevraagd en niet uitschakelbaar voortdurend verzamelen van allerlei identificerende telemetriegegegevens (zeg maar gerust spionage) gauw afgelopen.

Het gaat schoorvoetend, maar ook Microsoft schuift weer ietsje op (welliswaar alleen bij de duurste zakelijke licenties, maar toch - https://www.zdnet.com/article/windows-10-privacy-microsoft-announces-new-controls-aimed-at-eu-customers/). Gewoon meer druk uitoefenen.

Door iatomory: @Erik
Het is maar goed dat de Nederlandse overheid Google buiten de scope van de corona app ziet. Anders zou het helemaal nooit een positief advies van de AP krijgen.
Wat de overheid wel/niet binnen scope vindt, is irrelevant. Burgers die door de overheid worden opgeroepen om zo'n app te gebruiken, hebben met het hele plaatje te maken. Prof. Bart Jacobs is terecht wantrouwend (https://www.security.nl/posting/665011/Hoogleraar+computerbeveiliging+gaat+apart+toestel+voor+corona-app+gebruiken).
25-07-2020, 00:36 door Anoniem
Je bent een rund ...
als je met corona-apps stunt!
25-07-2020, 13:24 door Anoniem
Waar maken zij nu ineens zorgen over, er staan miljoenen apps in de store waarvan de data al bij google terecht is gekomen, een app meer of minder zal weinig uitmaken hoor..., maar de slimmeriken kiezen natuurlijk voor f-droid.
25-07-2020, 19:19 door Anoniem
Die (neiging tot) bezorgdheid was hier 2 maanden geleden ook al.
Zie https://www.security.nl/posting/658541
26-07-2020, 16:03 door souplost
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.