Studie vindt Android smartphones bezaaid met verdachte ‘bloatware’
Een van de vaak besproken nadelen van het kiezen van een Android-apparaat is het fenomeen van vooraf geladen ‘bloatware’.
In grote lijnen zijn dit apps en services die vooraf zijn geladen op smartphones en tablets door telefoonleveranciers, mobiele providers en hun partners, samen met de basissuite van Google-apps en Android zelf.
Niet al deze software is noodzakelijkerwijs nutteloos, en sommige leveranciers laden minder dan andere, maar vaak kan het niet worden verwijderd, waardoor gebruikers blijven hangen met ruimte-innemende software die ze misschien nooit gebruiken.
Erger nog, volgens een nieuwe studie van onderzoekers aan de Universidad Carlos III de Madrid in Spanje en de Stony Brook University in de VS, die crowdsourced-gegevens analyseerden van 1.742 apparaten gemaakt door 214 leveranciers, kan bloatware ook verborgen beveiligings- en privacyrisico’s creëren.
Hun eerste ontdekking was de enorme hoeveelheid en mysterieuze oorsprong van de verzending van de software op Android-apparaten, die in totaal 424.584 firmwarebestanden omvatte, waarvan slechts 9% overeenkwam met app-APK’s die werden gevonden op Google Play.
Dat waren ongeveer 140.000 apps, gebouwd met 11.665 verschillende softwarebibliotheken (TPL’s) van derden en 1.200 ontwikkelaars die nauw verbonden zijn met smartphonemakers.
Wat doet al deze software? Meestal sociale netwerken, advertenties en analyses, waaronder uitgebreide tracking van gebruikers voor commerciële doeleinden, vonden de onderzoekers. Veel van het waren obscure long-tail-dingen, maar er kwamen regelmatig veel grote merken op de markt, zoals Spotify, Facebook, TripAdvisor en AccuWeather.
Activiteiten varieerden van het verzamelen van locatiegegevens tot meer invasieve gevallen die resulteerden in het verzamelen van telefoongesprekkenmetadata, contacten en, uiteraard, waardevolle gedragsgegevens.
De analyse omvatte 144 landen, waarbij het team ook een klein aantal bekende kwaadaardige apps zag. Onze resultaten tonen aan dat een aanzienlijk deel van de vooraf geïnstalleerde software potentieel schadelijk of ongewenst gedrag vertoont.
Android-gebruikers begrijpen dat telefoonfabrikanten winst moeten maken met het apparaat. Wat minder goed wordt begrepen, is dat de gegevens die gebruikers genereren tijdens het gebruik van het apparaat ook lucratief zijn wanneer ze worden geschaald over miljoenen mensen. Het is niet gemakkelijk voor Android-gebruikers om zichzelf te doorgronden:
Over het algemeen is de supply chain rond het open source-model van Android niet transparant en heeft het mogelijk schadelijk gedrag en achterdeurtoegang tot gevoelige gegevens en services mogelijk gemaakt zonder toestemming van de gebruiker of bewustzijn.
En het grote aantal vooraf geïnstalleerde apps en privileges dat ze kregen, verhoogde de kans dat sommigen last hadden van softwareproblemen die kwaadwillig door derden konden worden misbruikt.
De onderzoekers suggereren hervormingen, waaronder dat telefoonfabrikanten verplicht zijn om de geïnstalleerde software te vermelden, met vermelding van de ontwikkelaar en het doel en de gegevensverzameling waarin het zich bezighoudt.
Ze suggereren ook dat de toestemming van de gebruiker moet worden gewijzigd – hoewel dat misschien niet zo gemakkelijk in de praktijk zal worden gebracht op een apparaat met een tiental of meer van deze vooraf geïnstalleerde apps, die elk een afzonderlijke overeenkomst kunnen vereisen.
Misschien is het dan eenvoudiger om gebruikers toe te staan alle niet-geïntegreerde apps te verwijderen. Dit zou het bloatware-probleem niet oplossen (niet alle gebruikers zouden dit doen), maar zou gebruikers in ieder geval wat te zeggen hebben.
Op dit moment is het kopen van een Android-smartphone net als het houden van een feest voor een groot aantal gasten die je nog nooit hebt ontmoet en misschien niet moet vertrouwen.
