3min

Tags in dit artikel

, ,

Twee van de populairste Android-apps voor het tracken van kinderen zijn kwetsbaar voor datalekken. Bijna elke app verzamelt de data van minderjarigen. Miljoenen ouders brengen de persoonsgegevens van hun gezin in gevaar.

De Google Play Store staat bol van de apps voor het tracken van kinderen. Een team van Cybernews besloot het aanbod te onderzoeken. De resultaten zijn zorgelijk.

Het team koos tien van de meest populaire apps. In totaal heeft de selectie 85 miljoen downloads. Het aantal actieve gebruikers is lastig te bepalen, maar het is duidelijk dat de apps door miljoenen ouders worden gebruikt.

Elke app bevat third-party trackers voor ouders én kinderen. Dit betekent dat elke ouder de persoonsgegevens van zijn of haar gezin aan een onbekend bedrijf meegeeft.

Omweg voor de AVG/GDPR

Third-party trackers hebben toestemming nodig om gegevens te verzamelen. De AVG/GDPR heeft extra regels voor minderjarigen. Wanneer een app op kinderen is gericht, dan kan een kind geen toestemming geven. Ook de voogd moet instemmen. De leeftijdsgrens verschilt per lidstaat en varieert van 13 tot 16 jaar.

Apps voor het tracken van kinderen hebben een omweg gevonden. Wanneer een product niet op kinderen is gericht, dan kan elke gebruiker toestemming geven voor third-party tracking, waaronder minderjarigen. Vandaar gebruiken sommige apps geen woorden als ‘child’ en ‘kids’. De developers presenteren de app als een product voor volwassenen, waardoor een deel van de AVG/GDPR vervalt.

Derde partijen kunnen de data op meerdere manieren inzetten. Gerichte advertenties zijn volledig legaal. Buiten de wet zijn de mogelijkheden eindeloos. Het monitoren van een apparaat wordt vaak verboden, maar daar hebben sommige bedrijven lak aan. De doorverkoop van persoonsgegevens is meestal illegaal, maar het komt desalniettemin voor.

Securityprobleem

Naast privacy vermoedt Cybernews dat twee van de apps een ernstig securityprobleem verbergen. De apps gebruiken hard-coded API keys. Belandt de broncode in een datalek, dan staan de gegevens van gebruikers op het spel.

API keys hebben verschillende functies, maar worden meestal als wachtwoord voor een API gebruikt. Een applicatie vraagt data op, maar krijgt pas een reactie wanneer het wachtwoord klopt. Op die manier zijn gevoelige gegevens alleen beschikbaar voor vertrouwde applicaties.

Een hard-coded API key wordt in de broncode van een applicatie vermeld. Komt de broncode in handen van een cybercrimineel, dan beschikt de cybercrimineel over de API key. Dit maakt het mogelijk om data op te vragen.

De ernst van het probleem is afhankelijk van de data die een API uitwisselt. Sommige data kunnen weinig kwaad. Denk aan de uptime, versie of datum van een app. De persoonsgegevens van gebruikers zijn een ander verhaal.

De ‘Phone Tracker by Number’ app (50 miljoen downloads) heeft een hard-coded API key voor ‘Account Kit Clients’. De informatie leidt waarschijnlijk naar de gegevens van gebruikers, aldus de onderzoekers. Ook ‘Family GPS Locator by Familo’ (1 miljoen downloads) heeft een gevoelige hard-coded API key.

Oplossing

“Ik zou ouders op zijn minst aanraden om wat online onderzoek te doen naar deze apps”, reageerde Social-Engineer CEO Chris Hadnagy tegen Cybernews. De vraag is of het uitmaakt. Zoek je een app om je kinderen te tracken, dan heb je waarschijnlijk geen boodschap aan privacy. Het probleem heeft geen makkelijke oplossing, maar strenger toezicht op trackingapps is een goed begin.

Tip: Politie Oost-Nederland legt malwarevorm FluBot plat