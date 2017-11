Ik heb het vandaag niet over de kwetsbaarheden in het ontwerp die misbruikt worden door criminelen. Bugs in software en de lekken die dat opleveren bestaan al zo lang er software bestaat. Het is een eeuwigdurend kat-en-muis-spel tussen criminelen die proberen gaten te gebruiken en de sector die ze probeert te dichten en met elke wijziging potentiële nieuwe bugs introduceert. Niks nieuws onder de zon.

Dit gaat over een nieuw fenomeen (althans, nieuw in de zin dat het bestaan is bevestigd) en we hebben de afgelopen weken een aantal voorbeelden gezien. Dan heb ik het over de beslissing van fabrikanten om bewust telefoons acties te laten uitvoeren, zonder gebruikers hiervan op de hoogte te stellen, die smartphones een stuk minder veilig maken.

Er zijn drie makers die recentelijk zijn betrapt op het opzettelijk verwerken van zulke kwetsbaarheden die gebruikers niet verwachten: Google, Apple en OnePlus. Smartphones van deze fabrikanten doen potentieel onveilige dingen zelfs als gebruikers actie hebben ondernomen om juist die dingen te vermijden.

De bedoelingen van de smartphonemakers niet kwaadaardig: het is namelijk het doel om gebruikersgemak of prestaties te verbeteren. Maar dat dit wordt gedaan zonder de gebruikers ervan te informeren, wijst op een soort minachting van de fabrikanten naar gebruikers toe. Even terug naar de afgelopen paar weken:

Google's locatiedata

Zelfs als gebruikers locatiediensten van Android uitschakelden, bleken de apparaten nog steeds locatiedata door te geven aan servers van Google. Zelfs als je geen apps gebruikte en niet eens een simkaart had, werden er Cell ID's doorgegeven - gegevens die de smartphone verzamelt op basis van beschikbare zendmasten.

Een woordvoerder van Google vertelde me dat het bedrijf de Cell ID-informatie gebruikte als een aanvullend signaal over hoe de snelheid en prestaties van berichtenlevering kon worden verbeterd. Ook is deze data nooit opgeslagen, gebruikt of uitgewisseld met locatiediensten zodat bijvoorbeeld adverteerders of apps er gebruik van konden maken. Het enige wat er is gebeurd is dat de feature werd ingeschakeld om daar later gebruik van te kunnen maken.

Google is van plan deze locatiefunctie op afstand uit te schakelen de komende maand na alle ophef. Daar is geen softwarepatch of aparte download voor nodig. Het is alleen niet bekend wat Google in de toekomst gaat doen met de feature; hij zou ook gebruikt kunnen worden om verbindingen te verbeteren, als universele feature of als gebruikersoptie.

Experimenteren met Cell ID om berichtenlevering te verbeteren is goed. Het implementeren van cell ID op alle Android-toestellen zonder gebruikers ervan op de hoogte te stellen dat locatiedata wordt doorgegeven zelfs als de locatiediensten zijn uitgeschakeld is dat niet.