De app van taxideelservice Uber heeft volgens een tech-blog veel weg van malware: kwaadaardige software die systemen infiltreert en uitbuit. Niks van waar, laat Uber zelf weten. Op hun website leggen ze uit wat de app doet en waarom de informatie nodig is. Maar waarom zoveel informatie opvragen?


Uber, het bedrijf dat met hun systeem particulieren voor taxichauffeur laat spelen, kon de afgelopen maanden rekenen op veel kritiek. Ze zouden regels omzeilen en mensen uitbuiten en wegpesten. Nu kwam daar afgelopen week de onthulling bij dat de Android-app van het bedrijf dusdanig veel toegang vraagt tot de gegevens op de telefoon, dat het lijkt op malware. Een duik in de code liet zien dat Uber onder andere permissie vraagt om wi-fi-netwerken in de buurt, telefoonnummers, camera en foto's te gebruiken. Een ogenschijnlijk grote hoeveelheid data waar een taxi-app weinig mee kan.

Uber reageerde op de claims en meldden onder andere dat concurrerende apps precies even veel vragen. Bovendien moedigt Google, maker van het Android-systeem, appmakers aan om zoveel mogelijk toestemming van gebruikers te vragen. Doordat een gebruiker toestemming geeft voordat hij de app download, weet hij waar hij aan toe is. Uber geeft op hun eigen website bovendien tekst en uitleg over de permissies en waarom ze nodig zijn.

'Het lijkt een storm in een glas water,' vertelt Joost Bijl van security consultancy-bedrijf FOX-IT. 'Die toestemmingen blijken heel normaal, en het heeft weinig met malware te maken. Malware betekent dat een programma een bug of zwakheid in een systeem uitbuit. Als iemand zelf toegang geeft tot bepaalde gegevens, is het geen malware.' Wat blijft is dat de Uber-app veel vraagt van een gebruiker, wat het bedrijf de mogelijkheid geeft om veel meer te weten te komen over iemand dan hij nodig heeeft. 'Dat kan, maar lijkt me niet heel slim; als dat aan het licht komt zal het bedrijf veel klanten verliezen. Bovendien betekent toestemming geven niet hetzelfde als die toestemming gebruiken. 'Het probleem is dat Uber niet ál je contacten nodig heeft, of alle eigenschappen van je camera. Maar voor kleine onderdelen - zoals het uitnodigen van vrienden - heb je wel een deel van de gegevens nodig. Het permissiesysteem maakt niet duidelijk welk deel ze gebruiken.'

Het probleem met malware op smartphones valt volgens Bijl erg mee. Een aantal verhalen over malafide apps in de Google-winkel deden de ronde, maar daar ging het zelden om malware. 'Dat waren apps die niet deden wat ze zeiden, en waarbij de app ondertussen gegevens van mensen binnenhaalde en misbruikte.' In die zin is een zekere reserve ten opzichte van de toestemmingen die een app vraagt niet ongegrond. 'Maar met een beetje goed opletten, bijvoorbeeld hoeveel downloads of reviews er zijn, omzeil je die apps makkelijk.'

De veiligheid van Android-toestellen is dus beter dan men denkt. Sterker nog - als het om toestemmingen en malware gaat is een pc veel onveiliger. Elk geïnstalleerd programma op een pc heeft namelijk toegang tot alle documenten op een pc, terwijl een app alleen maar in haar eigen mapje mag zoeken. 'Natuurlijk bevat een telefoon vaak meer persoonlijke informatie. Maar uit een cyberveiligheids-oogpunt hebben smartphones het goed voor elkaar. Ik zou liever internetbankieren op mijn telefoon dan op een computer.'