Android en je privacy

Door Gtoniser op maandag 18 maart 2013 12:44 - Reacties (17)
Categorie: Algemeen, Views: 6.464

Laten we even voorop stellen dat ik een groot fan ben van Android. Als tweaker vind ik het geweldig dat ik alles met mijn telefoon kan doen en hem precies zo kan aanpassen als ik dat wil met custom roms en themes.
Toen ik echter afgelopen week wat aan het spelen was met mijn tablet en een test app installeerde via de Android SDK kwam ik ineens het volgende tegen in mijn LogCat:

code:
1
2
3
4
03-15 17:09:17.460: I/GetJar SDK [com.zeptolab.ctr.hd.google.paid](15588): CommManager: processesRequest() [thread:31729] [request:-1075312065] Starting Request -1075312065
03-15 17:09:17.460: D/GetJar SDK [com.zeptolab.ctr.hd.google.paid](15588): CommManager: processesRequest() [thread:31729] [request:-1075312065] Making a request to: 'https://rptuse20120814.getjar.com:443/user/devices/000203ec00000000009c4d82/apps/report_usage?version=20120401'
03-15 17:09:17.480: D/GetJar SDK [com.zeptolab.ctr.hd.google.paid](15588): CommManager: processesRequest() [thread:31729] [request:-1075312065] Sending POST data as part of the request [length: 584]:
03-15 17:09:17.480: D/GetJar SDK [com.zeptolab.ctr.hd.google.paid](15588): app_usage_data=%5B%7B%22usage_type%22%3A%22UNINSTALLED%22%2C%22app_metadata%22%3A%5B%7B%22value%22%3A%221.0%22%2C%22key%22%3A%22android.package.version_name%22%7D%2C%7B%22value%22%3A%22android%22%2C%22key%22%3A%22device.platform%22%7D%2C%7B%22value%22%3A%221%22%2C%22key%22%3A%22android.package.version_code%22%7D%2C%7B%22value%22%3A%22eu.sanoweb.webviewtest%22%2C%22key%22%3A%22android.package.name%22%7D%2C%7B%22value%22%3A%224.1.1%22%2C%22key%22%3A%22device.platform_version%22%7D%5D%2C%22tracking_metadata%22%3A%5B%5D%2C%22event_timestamp%22%3A%222013-03-15T16%3A09%3A17Z%22%7D%5D


Iets is dus blijkbaar mijn "Device usage" aan het syncen naar een server. Als we even urldecode over de data heen halen krijgen we de volgende JSON string:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[ {
    "usage_type" : "UNINSTALLED",
    "app_metadata" : [ {
        "value" : "1.0",
        "key" : "android.package.version_name"
    }, {
        "value" : "android",
        "key" : "device.platform"
    }, {
        "value" : "1",
        "key" : "android.package.version_code"
    }, {
        "value" : "com.test.webviewtest",
        "key" : "android.package.name"
    }, {
        "value" : "4.1.1",
        "key" : "device.platform_version"
    } ],
    "tracking_metadata" : [],
    "event_timestamp" : "2013-03-15T16:09:17Z"
} ]

Bij het installeren van een app wordt dit ook verzonden naar de server.
Wat verder onderzoek laat zien dat dit afkomstig is van de app "Cut the Rope" van zeptolab. Maar waarom houdt dit bij welke apps ik installeer en verwijder?
De volgende pagina biedt uitkomst: https://developer.getjar....paign-tracking-analytics/
GetJar’s Pay-Per-Install program tracks App install events on the user’s device. These are events when the user visits the Google Play Store, downloads and installs the App on their phone. Since Getjar’s SDK is integrated into a Publisher’s application, it has the permission to listen to the ACTION_PACKAGE_ADDED system event. For more details of this event, please refer to the Android documentation here ACTION_PACKAGE_ADDED
Vanuit de developer documentatie komen we erachter dat dit via een "broadcast" aan alle apps wordt gestuurd bij een nieuwe install of uninstall.
Leuk natuurlijk, maar het lijkt me niet de bedoeling dat deze dingen naar diverse ad providers worden verstuurd.

Door de app op te zoeken in Google Play komen we bij de volgende privacy policy uit van ZeptoLab: http://www.zeptolab.com/pp.htm

Hier staat inderdaad in dat door het downloaden van een app je Zeptolab toestemming geeft om zo ongeveer alle "non-personal data" te verzamelen en te versturen naar third parties.
De apps die je installeert vallen blijkbaar ook onder Non-personal data.

Nu vind ik dit nogal apart. Over het algemeen zeggen apps die je installeert natuurlijk niet zo veel over je persoon. Maar wat als ik een rooster app van een universiteit installeer? Weet je gelijk waar ik studeer. En een Bijbel of Koran app? Of een app van een datingsite?

Het is natuurlijk niet gegarandeerd dat GetJar deze informatie verzamelt en opslaat (immers het doel is volgens de site om te tracken of iemand een app installeert na aanleiding van een advertentie), maar dat alles wat ik doe met mijn tablet wordt verstuurt naar random derde partijen waar ik nog nooit van heb gehoord vind ik persoonlijk niet erg fijn.

Wat me het meest verbaast is nog wel dat er totaal geen permissies nodig zijn om deze "broadcasts" te ontvangen. Enkel internet permissie (wat iedere app vrijwel heeft) is voldoende om deze data naar een willekeurige server te versturen.
Wat mij betreft slaat Google hier toch wel behoorlijk de plank mis.
Ben benieuwd wat anderen hierover denken :)