Nieuwe Google Play Store-regels kunnen privacyschendingen aanmoedigen

July 20, 2022
InNieuws Internet Beveiliging

Alle Google Play-apps zullen vanaf vandaag verplicht een privacylabel in voedingsstijl weergeven.
Het label is bedoeld om de machtigingen en het privacybeleid van een app beter uit te leggen.
De door ontwikkelaars bijgedragen inhoud van het label zou de mogelijkheid kunnen openen voor apps om mensen te misleiden, beweren sommigen.

Een jonge volwassene die een smartphone gebruikt terwijl hij buiten een groot gebouw zit. — tomaso79 / Getty Images

De nieuwe Sectie Gegevensveiligheid op Google's Play Store heeft privacy-experts verdeeld.

Vanaf vandaag moeten apps in de Google Play Store verplicht details delen over hun praktijken voor het verzamelen en delen van gegevens, die worden vermeld onder het nieuwe gedeelte Gegevensveiligheid. Echter, zoals sommige mensen hebben het gemerkt, verwacht Google nu dat mensen deze privacyoverwegingen van ontwikkelaars vertrouwen in plaats van de oude door Google gegenereerde lijst met privacyrechten.

"We weten dat om gebruikers op een zinvolle manier te betrekken, softwaresystemen zelf vertrouwen moeten wekken, en poging daartoe van hun kant wordt ondermijnd door een app store die zelfonthulling presenteert als zijn beleid,"

Vuk Janosevic, CEO van privacysoftwareleverancier, blindnet, vertelde Lifewire via e-mail. "Als ontwikkelaars zelf moeten aangeven welke gegevens ze verzamelen en voor welke doeleinden, wordt de vraag: wat gaat Google doen om naleving en correctheid te waarborgen?"

Open voor misbruik

Google begon in mei met het uitrollen van de sectie Gegevensveiligheid, met het doel mensen meer inzicht te geven in het gegevensverzamelingsbeleid van de vermelde apps. Google is niet de eerste die dit doet, Apple heeft iets soortgelijks uitgerold in december 2020.

De nieuwe sectie deelt precies welke gegevens een app verzamelt en onthult welke gegevens hij deelt met derden. Het beschrijft ook de beveiligingspraktijken van de app en de beveiligingsmechanismen die de ontwikkelaars gebruiken om de verzamelde gegevens te beschermen en vertelt mensen of ze de mogelijkheid hebben om de ontwikkelaar te vragen hun verzamelde gegevens te verwijderen, bijvoorbeeld wanneer ze stoppen met het gebruik van de app.

Google vertrouwt echter niet alleen op ontwikkelaars om nauwkeurige details te verstrekken, maar het maakt ook een einde aan de oude lijst met automatisch gegenereerde app-machtigingen. De focus op door de ontwikkelaar verstrekte details past niet goed bij sommige privacy-experts.

"Consumenten wantrouwen tegenwoordig enorm veel online systemen", betoogde Janosevic. "Bedrijven en hun apps moeten een extra stap zetten om te bewijzen dat ze geen slechterik zijn en het vertrouwen van hun klanten winnen."

Janosevic is het ermee eens dat de wijziging het potentieel opent voor ontwikkelaars om hun bedoelingen verkeerd voor te stellen en meer datapunten over hun gebruikers te verzamelen dan ze beweren.

"Maar ik denk dat het grotere probleem dat hier speelt, is dat elke fout van Google om deze regels te reguleren en te handhaven en... publiceer dat naleving uiteindelijk het vertrouwen van gebruikers in de markt en de applicaties die daar worden vermeld, dreigt aan te tasten”, meende Janosevic.

De goede weg

Jeff Williams, CTO en mede-oprichter van Contrastbeveiliging, zei dat de overstap naar de zelfverklaarde privacylabels belangrijker is dan het afschaffen van de lijst met machtigingen.

"Het is de beste manier om de belangen van softwareconsumenten en -producenten op de softwaremarkt in evenwicht te brengen", vertelde Williams via e-mail aan Lifewire. "Ik denk dat dit, en andere inspanningen zoals de softwarebeveiligingslabels die worden gebruikt in Singapore en Finland, zijn echt belangrijk.”

Iemand die achter een laptop zit en met zijn vinger op een tafel drukt met een gloeiend slotpictogram erop. — Teera Konakan / Getty Images

Williams prees de overstap naar etiketten in voedingsstijl en betoogt dat de overgrote meerderheid van de gebruikers niet veel aandacht schonk aan de vaak cryptische lijst met machtigingen en eenvoudigere labels zijn effectiever in het vormgeven van gebruikerskeuzes, zoals is waargenomen bij verschillende andere producten.

William leeft mee met mensen die willen dat Google automatisch de machtigingen van een app vermeldt, maar gelooft dat het zeer onwaarschijnlijk is dat het nieuwe systeem zal worden misbruikt. Hij zei dat iedereen die vals speelt waarschijnlijk wordt geroepen of verbannen, omdat het ontdekken van discrepanties niet moeilijk is.

"Deze stap verandert niets aan het feit dat gebruikers pop-ups krijgen om apps te autoriseren om gevaarlijke machtigingen te gebruiken", legt Williams uit. "Iedereen die er echt om geeft, kan deze informatie nog steeds krijgen."

Verder wees hij erop dat de nieuwe regeling nog steeds beoordelingen door derden toestaat, met name verwijzend naar de OWASP Mobile Application Security Verification Standard (MASVS) die apps grondig kan doorlichten, rekening houdend met verschillende beveiligingsaspecten die verder gaan dan hun machtigingen.

"Misschien komen we ooit bij labels van derden van een vertrouwde bron, misschien Google, misschien iemand anders [ingebouwd in de Play Store]", zei Williams. "Maar voor nu verwelkom ik een geweldig label dat gewone mensen zal helpen begrijpen hoe de apps die ze gebruiken hun gegevens beschermen."