Minimaal 17.000 Android-apps bouwen een permanent archief van al je online activiteiten en gebruiken die informatie voor advertentiedoeleinden. De apps behouden het archief, ook als je aangeeft dat de informatie vergeten moet worden. Dat blijkt uit nieuw onderzoek naar de manier waarop de Android-apps het gedrag van gebruikers bijhouden.

Nieuw onderzoek van het International Computer Science Institute (ICSI) uit Californië wijst uit dat de app gebruikmaken van je Advertising ID. Daarnaast gebruiken ze diverse andere identifiers die gebruikt kunnen worden voor gepersonaliseerde advertenties en het specifiek richten daarvan. Op die manier bouwen de apps uitgebreide archieven op met de online activiteit van een gebruiker, zelfs al deze daar geen toestemming voor geeft.

Trackingregels overtreden

Dat meldt de site CNet op basis van het onderzoek van het ICSI. Het lijkt er daarmee op dat de apps het beleid van Google rond het tracken van gebruikers overtreden. Google eist namelijk van ontwikkelaars en adverteerders dat ze de Advertising ID niet koppelen aan informatie die gelinkt kan worden aan een persoon. Ook mogen ontwikkelaars die ID niet koppelen aan apparaatinformatie als de Android ID, IMEI, SSAID of het MAC-adres.

Google eist ook van ontwikkelaars dat gebruikers ervoor kunnen kiezen helemaal niet meer gevolgd te worden voor advertenties. Maar het onderzoeksinstituut stelt nu dus dat ontwikkelaars die regels massaal negeren. Er zijn in totaal zo’n 17.000 Android-apps aangetroffen die niet alleen de Advertising ID, maar ook andere identifiers gebruiken. Door die elementen aan elkaar te koppelen, kunnen ontwikkelaars een uitgebreid overzicht opbouwen met daarin de recente online activiteit van een gebruiker.

Uiterst populaire apps

Het gevolg daarvan is dat zelfs als een gebruiker ervoor kiest om vergeten te worden, of om zijn advertentieprofiel te resetten, dat genegeerd wordt. De ICSI meldt twintig zeer populaire apps die het beleid van Google overtreden en allemaal meer dan 100 miljoen keer gedownload zijn. Een aantal daarvan zijn zelfs meer dan een miljard keer gedownload.

De apps die daaronder vallen zijn onder meer Clean Master, dat meer dan 1 miljard keer gedownload is, evenals Angry Birds Classic, Audible en Subway Surfers. Ook stond Flipboard op de lijst, maar de ontwikkelaars daarvan lieten aan CNet weten dat de app geen gebruik maakt van de Android ID voor het targeten van advertenties.

Moeilijk te controleren

De onderzoekers stellen dat het vooral problematisch is dat Google de gebruiker allerhande privacytools geeft, maar dat het bedrijf die vervolgens niet oplegt. “Google biedt gebruikers wel de nodige privacytools, maar doet verder niets, omdat het alleen controle heeft over de Advertising ID. Het probleem is dat in veruit de meeste gevallen er meer identifiers gebruikt worden door apps,” concluderen ze.

Het instituut heeft de problemen gemeld bij Google, maar nog geen reactie ontvangen. Tegenover CNet laat de techgigant echter weten dat er in “sommige” gevallen actie ondernomen is, en dat het bedrijf de problemen zeer serieus neemt. Overigens stellen ook ontwikkelaars als Rovio (van Angry Birds) en Cheetah Mobiel (van Clean Master) dat ze voldoen aan alle regels van Google.