Onderzoekers van het International Computer Science Institute hebben meer dan duizend Android-apps gevonden die data van gebruikers verzamelen, zelfs als zij die toegang expliciet hebben geweigerd.

In totaal vonden de onderzoekers 1.325 Android-apps die informatie verzamelden hoewel de gebruikers hadden aangegeven dat niet toe te staan. Er werden voor het onderzoek meer dan 88.000 apps uit de Google Play Store geanalyseerd.

Moderne smartphoneplatforms implementeren op toestemming gebaseerde modellen om de toegang tot gevoelige gegevens en systeembronnen te beschermen. Apps kunnen dit toestemmingsmodel echter omzeilen en zo toegang krijgen tot beschermde gegevens, zonder toestemming van de gebruiker. Zo zijn er 'zijkanelen en geheime kanalen' die communicatie tussen twee met elkaar samenwerkende apps mogelijk maken, zodat de ene app de gegevens waar die toestemming voor heeft, kan delen met een andere app die dergelijke machtigingen niet heeft.

Een foto-app (Shutterfly) verzamelde bijvoorbeeld gps-coördinaten van foto's en verzond die gegevens naar zijn eigen servers, ook als gebruikers daar geen toestemming voor hadden gegeven. Ook zouden apps van Samsung, zoals de de Health- en Browser-app, de regels hebben overtreden.

De onderzoekers hebben Google en de Amerikaanse toezichthouder FTC hiervan op de hoogte gebracht. Google heeft beloofd aanpassingen te maken in het besturingssysteem Android Q, dat later dit jaar wordt uitgebracht.