1 min

Met een recente wijziging in het beleid rondom permissies voor Android-applicaties lijkt Google een flinke fout te maken. Makers van malafide apps kunnen door de wijziging middels een app-update zonder melding meer permissies krijgen dan ze in eerste instantie verworven hadden.

Google heeft permissies sinds kort in verschillende groepen opgedeeld. Als een bepaalde applicatie een permissie voor een bepaalde groep heeft gevraagd en gekregen, is het middels een update vervolgens mogelijk om ongemerkt alle andere permissies voor die groep te krijgen.

Dit speelt kwaadaardige ontwikkelaars van apps natuurlijk in de kaart. Zij kunnen een app maken onschuldig oogt en vervolgens enige tijd wachten totdat een groep mensen de software heeft geïnstalleerd. Vervolgens kunnen ze via een automatisch geïnstalleerde update extra permissies verkrijgen en op de achtergrond ongevraagd allerlei handelingen uitvoeren.

Zo zou een onschuldig ogende app bij installatie bijvoorbeeld kunnen vragen om toegang tot de locatie bij benadering, om na de update de exacte locatie van de gebruiker op te kunnen vragen. Hetzelfde geldt voor toegang tot sms-berichten, om na de update ook sms-berichten naar betaalde diensten te kunnen versturen.

Als de gebruiker heeft aangegeven dat updates niet automatisch geïnstalleerd mogen worden is deze handeling in principe natuurlijk niet mogelijk. Ware het niet dat Google Play bij het aanbieden van de update niet aangeeft dat er extra permissies worden vergeven, terwijl dit dus wel het geval is.

Google heeft vooralsnog niet gereageerd op de ontdekking.