‘Gebruikersdata bij miljoenen apps in gevaar wegens HTTP-protocol’

Gebruikers van populaire dating-apps lopen het risico dat hun persoonlijke gegevens verloren gaan. Dit vanwege het feit dat sommige apps de gebruikersdata verzenden via het onveilige HTTP-protocol. Dat concluderen onderzoekers van Kaspersky Lab na het analyseren van de apps. Waarschijnlijk komt het probleem voor bij nog meer diensten.

De onderzoekers bekeken de logboeken en het netwerkverkeer van applicaties in de interne Android Sandbox, om erachter te komen welke apps via HTTP onversleutelde gebruikersdata naar netwerken sturen. In de zoektocht identificeerden zij een aantal belangrijke domeinen, waarvan de meeste deel uitmaken van veelgebruikte advertentienetwerken.

Zo ontdekte Kaspersky dat het aantal diensten dat gebruiksklare SDK’s toepast voor het weergeven van advertenties in de miljoenen loopt. Deze set ontwikkelingstools maken deel uit van enkele van de meestgebruikte advertentienetwerken. Het merendeel verzendt ten minste één stukje data onversleuteld, al kan het type data wel verschillen

Persoonlijke informatie behoort tot de gegevens die mogelijk onversleuteld verstuurd worden. Meestal gaat het dan om gebruikersnaam, leeftijd en geslacht. In sommige gevallen lekken de apps het inkomen, het telefoonnummer of het e-mailadres. Kaspersky toonde al eens aan dat gebruikers veel persoonlijke informatie met de datingdiensten delen. Andere data die onversleuteld verzonden kunnen worden zijn informatie over het apparaat of de locatie van het toestel.

Omvang

In eerst instantie dacht Kaspersky aan een paar gevallen waarbij onzorgvuldig applicatieontwerp toegepast is. De omvang van het probleem blijkt echter enorm. Miljoenen apps maken namelijk gebruik van SDK’s van derden, waardoor het probleem mogelijk veel groter is.

Van de geanalyseerde apps zijn sommige miljoenen keren geïnstalleerd. Zo analyseerde Kaspersky onder meer Tinder, Badoo, Happn en WeChat. Bij de ene dienst is de security wat beter geregeld dan de ander. De resultaten per app toont Kaspersky in onderstaande tabel.