Hoogste tijd om Android-machtigingen in te trekken

Na de Facebook-ophef is het verstandig om kritisch te kijken naar rechten van apps.

De schrik over het dataslurpen van third party-applicaties die toegang hebben tot Facebook is een wake-up call voor Android-gebruikers. Het is verstandig om goed te kijken naar welke apps toegang hebben tot welke systeemgegevens.

De laatste weken zijn er een heleboel nare onthullingen geweest over hoe persoonlijke data werd gebruikt (en misbruikt) zonder dat gebruikers dat wisten. Veel van de huidige zorgen draaien om Facebook en illustreren dat we erg weinig controle hebben over onze gegevens. Dit is dan ook een goed moment om te kijken hoe andere diensten en apps dat aanpakken.

Geheime vragen

Denk ook aan je historische gegevens. Beveiligingsjournalist Brian Krebs wees vandaag nog eens op een extra aandachtspunt: alle ogenschijnlijk onschuldige persoonlijkheidsvragen leveren informatie op die kan worden gebruikt om geheime vragen van gebruikers te social engineeren. Het vervelende is vooral dat het Cambridge Analytica-schandaal nogmaals laat zien dat die vragen en antwoorden overal kunnen uitkomen en dan voor altijd blijven rondhangen.

Lees ook: Nieuwe social media beleid: neem gepaste afstand

Dat betekent dat kennis over jou als persoon openbare informatie is en dus niet geschikt is voor geheime vragen. Mensen in de IT gebruiken meestal een soort masterwachtwoord als antwoord op een geheime vraag, zodat zelfs gerichte aanvallers het niet kunnen gokken, maar veel mensen buiten onze sector geven eerlijk antwoord op vragen als “hoe heette je eerste huisdier?” en “wat is je favoriete boek?”

Telefoontoegang

Waar je ook toestemming voor hebt gegeven – wat veel mensen blijkbaar niet doorhadden toen ze de Facebook-app in gebruik namen – is dat het sociale netwerk toegang heeft tot telefoontjes en sms’jes en daar een lange termijn log van maakt. Facebook schaalt het verzamelen van zulke gegevens nu terug, maar de opheft hierover benadrukt dat het verstandig is om op te letten welke machtigingen je precies uitdeelt aan apps.

Facebook deed eigenlijk niets verkeerd met het verzamelen van deze gespreksinformatie, maar maakte gebruik van het machtigingenmodel van Android van vóór 2015, waar je een alles-of-niets-voorstel had voor de machtigingen. Je werd toen gepresenteerd met een lijst van onderdelen waar de app toegang tot wilde verkrijgen en je accepteerde ze allemaal, of je gebruikte de app niet.

Hierna: Loop eens door de huidige machtigingen en je komt wellicht verrassende dingen tegen.

Het nieuwere Android-machtigingenmodel verscheen met Android 6.0 (Marshmellow) in 2015 en gaf gebruikers net als bij de iPhone fijnmazigere controle om bepaalde rechten in te trekken. Android Central merkt op dat dit model pas in het midden van afgelopen jaar werd geadopteerd door Facebook, waarbij je machtigingen op individuele basis toewijst of intrekt.

Vanaf dat moment moest Facebook – of iedere andere app – expliciet toestemming vragen op het moment dat er toegang werd verzocht tot elementen als je contacten, telefoongegevens, sms-gegevens of iets anders. Als gebruikers dit weigeren, kun je de app blijven gebruiken – minus natuurlijk de feature waarvoor de machtiging nodig was.

Machtigingen intrekken

Bovendien is het geen eenmalig beslismoment meer. Op elk gewenst moment kun je een machtiging weer intrekken, als je bijvoorbeeld toestemming hebt verleend aan het gebruik van de microfoon om daarna te beseffen dat dit helemaal niet nodig is, of om een andere reden ongemakkelijk voelt bij het verlenen van die machtiging.

Vooral Android-gebruikers in de eerste helft van dit decennium maakten zich waarschijnlijk schuldig aan het accepteren van te veel rechten, soms bewust maar veel vaker onbewust. Het is dezelfde reactie als bij het accepteren van gebruikersvoorwaarden: maar weinig mensen lezen ze elke keer en klikken gewoon op ‘accepteren’. De kans is groot dat je apps hebt die iets doen wat je eigenlijk liever niet wilt.

Machtigen nalopen

Het goede nieuws is dat dit makkelijk te controleren is. In zijn huidige vorm (Android 6 en hoger) is het eenvoudige om systeemmachtigingen tevoorschijn te halen om te zien welke apps er toegang tot hebben. Vanuit dat menu zie je eenvoudig de hele lijst van systeemonderdelen, hoeveel apps daar toegang tot hebben, welke dat per onderdeel zijn en kun je de toegang ervan afkappen.

Gezien het gedoe de afgelopen week omtrent Facebook en data-delen, is dit wellicht een goed moment voor ons allemaal – of je nu Facebook gebruikt of niet – om de machtigingen na te lopen, zodat we een helder beeld hebben van welke apps toegang hebben tot welke informatie. Wat dit betreft heb je namelijk wél de controle in handen.

Op de laatste pagina: even de instellingen induiken.

Als je Android 6.0 of hoger draait – wat geldt voor de meeste Androids die je in de Nederlands telefoonwinkel hebt gekocht sinds 2016 en voor vlaggenschepen sinds 2015 – is het vrij eenvoudig om de machtigingen te controleren. Ga naar het onderdeel Apps en Meldingen in kaal Android, of Apps of een equivalent in veel andere systemen. In kaal Android zie je dan een vermelding ‘App-machtigen’ en in veel andere smaken moet je in dit venster in de instellingen duiken (hamburgerpictogram, tandwieltje, of iets dergelijks) om een soortgelijke melding te zien.

Hier zie je de categorieën van systeemonderdelen waar apps toegang tot krijgen. Je kunt hier een categorie controleren, bijvoorbeeld de apps die toegang hebben tot de telefoonfunctie, zoals je ziet in dit venster:

Het is verstandig om systeemniveau-apps (denk aan Google Play Services of Carrier Services) toegang te laten houden. Mocht je deze toch willen intrekken, krijg je als het goed is een waarschuwing dat het OS wellicht niet meer optimaal functioneert bij het wijzigen van deze machtiging.

Rechten intrekken

Maar als je in de lijst kijkt en je afvraagt waarom Netflix of je bank-app nu eigenlijk de camera nodig heeft, kun je deze intrekken. Mocht je een functionaliteit verstieren, bijvoorbeeld als de bank-app een QR-code wil scannen, krijg je vervolgens in de app zodra je deze functie aanspreekt opnieuw de vraag of je toestemming wilt verlenen of niet.

Kijk ook eens naar een paar andere machtigingen, specifiek Contacten, Locatie en SMS om te zien welke apps daar toegang tot hebben. Heeft 9292 of Headspace die nou wel echt nodig? Pas de rechten aan als je twijfelt en je ziet vanzelf of je een functionaliteit verijdelt die je achteraf bezien toch nodig hebt. Je hoeft (afgezien dus van de Android-machtingen zelf voor bijvoorbeeld Google-accounts en Play Services) niet zo voorzichtig te zijn.

Zet een herinnering in je agenda dat je dit elke zes maanden een keertje doet. Het kost je een paar minuten, maar scheelt je wellicht kopzorgen als over een tijdje blijkt dat een app gegevens lekt waarvan iedereen opeens schrikt met het idee “kan dat dan?” zoals nu is gebeurd na de Facebook-ophef van maart en april.

We hebben geen controle over hoe data wordt gebruikt als de gegevens eenmaal zijn verzameld, maar we kunnen wel bepalen welke gegevens worden overgedragen.


Comments are closed.