Volgens een onderzoek naar de tweehonderd beste Android- en iOS-apps zijn gratis apps erg riskant. Maar zelfs betaalde hebben vaak een verborgen kantje.

Advertentie

Iedereen weet ondertussen wel dat apps vaak vol zitten met risico’s en onbekend gedrag, ook al is het vaak moeilijk om op de hoogte te zijn van deze problemen voor je een app installeert. Het Appthority Winter 2014 App Reputation Report geeft je daarom een handig overzicht van de soorten en de frequentie van riskant gedrag in de topapps van het moment.

Appthority biedt een "reputatieservice" voor bedrijven aan, die de IT-afdeling in staat stelt om richtlijnen op te zetten, waarbij bepaalde groepen gebruikers andere risicovormen en -niveaus  in mobiele apps kunnen accepteren.

Appthority verzamelt apps uit de verschillende onlinestores en analyseert hun gedrag – zoals location tracking – en geeft ze vervolgens een score, waar klanten gebruik van kunnen maken. Ook hun jaarlijkse verslag werd opgesteld aan de hand van deze data.

Het verslag bekeek de tweehonderd meest gedownloade apps uit de stores van zowel Google als Apple. Overigens is bijna de helft van de top honderd iOS-apps veranderd tegenover vorig jaar. Dit om aan te tonen waarom Appthority’s geautomatiseerde service zo’n welkome aanvulling is: de constante veranderingen in de appstores maakt het erg moeilijk om manueel witte en zwarte lijsten bij te houden.

Zowel gratis als betaalde apps vertonen riskante gedragingen, maar gratis apps veel frequenter. Zo gebruikt 70% van de gratis apps en 44% van de betaalde location tracking, vaak zonder aanwijsbare reden in de functie van de app.

Een paar van de andere gedragingen die in het verslag bestudeerd werden zijn het gebruik van single sign-on (SSO), toegang verkrijgen tot de unique device identifier (UDID, een code van 40 tekens die uniek is voor jouw toestel) van de gebruiker, in-app aankopen en het delen van data met reclamenetwerken of statistiekbedrijven.

SSO wordt bijvoorbeeld als riskant gezien omdat het verlies van het bijhorende credential (meestal een socialemediasite) ertoe kan leiden dat alle websites waar de gebruiker inlogt met die SSO gecompromitteerd raken. Daarenboven zijn ook alle toelatingen die je verstrekt hebt aan de app met een SSO, ook beschikbaar voor de site van die SSO. Met andere woorden: als je je Facebook-gegevens gebruikt om in te loggen in een app en je geeft die app toegang tot je contactenlijst, dan krijgt Facebook die toegang ook.

De UDID aanspreken was vroeger een standaardpraktijk van vele apps, maar na de release van iOS6 tikte Apple de ontwikkelaars ervoor op de vingers en bood het hen alternatieven aan die niet zo opdringerig waren. Het gebruik van de UDID viel daarna even flink terug, maar het is nu weer terug gestegen op iOS en nog sterker op Android.

In-app-aankopen vallen dan weer onder de geviseerde praktijken omdat ze vaak op de gsm-rekening van de gebruiker terechtkomen.

Nog een paar andere belangrijke punten uit het verslag:

* 56% van de top 200 van Android- en iOS-apps identificeert de UDID van je toestel, waaronder 100% van de geteste gratis Androidgames.

* 31% van de gratis apps en 22% van de betaalapps heeft toegang tot de contactenlijst of het adresboek van de gebruiker

* 58% van de gratis Androidapps deelt zijn data met reclamenetwerken, tegenover 24% van de betaalapps.

* Games zijn niet riskanter dan andere apps. Over het algemeen lopen hun resultaten ongeveer gelijk op.

* Candy Crush is de meest gedownloade gratis app en haalt ook de hoogste inkomsten uit in-app aankopen.

Appthority introduceerde ook twee nieuwe functies. Een van Appthority’s producten is een policygenerator, om bedrijven toe te staan om hun eigen risicoprofielen op te stellen. Nu hebben ze aangekondigd dat die functionaliteit zal uitbreiden, waardoor er ook verschillende groepen met verschillende profielen binnen een bedrijf gecreëerd zullen kunnen worden.

Daarenboven zal IT vanaf nu ook een automatische doorlichting van een app kunnen inplannen. Zo kan bijvoorbeeld, bij een klein probleem, de gebruiker door het systeem gevraagd worden om een aanpassing door te voeren; heeft hij dat na twee weken nog niet gedaan, dan kan het systeem die automatisch doorvoeren.

Advertentie