Google legt toegang tot bel- en sms-geschiedenis voor applicaties aan banden
In de recente jaren is Google hard op weg om Android beter te beveiligen tegen aanvallen die gericht zijn op de privacy van de gebruiker. Android 6.0 Marshmallow is Googles eerste besturingssysteem waar een gebruiker de mogelijkheid heeft een aantal privacyinstellingen aan te passen; zo biedt Google je een de mogelijkheid om applicaties toegang te weigeren tot de camera, microfoons of bijvoorbeeld de locatie van je telefoon. Vanaf Android 6.0 werd het voor ontwikkelaars ook duidelijk dat ze in de basis geen toestemmingen meer mochten toe-eigenen. Een app mocht voortaan enkel na installatie aan de gebruiker vragen tot welke toestemmingen de app toegang zou krijgen; daarmee riskeerde Google dat er veel applicaties zouden zijn die niet werken zonder toestemming van de gebruiker. In de realiteit blijkt dat toch wel mee te vallen.
Google houdt het daar niet bij, zo blijkt nu uit een artikel van Ars Technica. In oktober maakte Google al een aantal aanpassingen aan zijn beleid omtrent te toestemmingen. Deze wijziging betreft toegang tot de bel- en sms-geschiedenis voor applicaties. Voorheen mochten alle applicaties daarnaar vragen, dat zal niet langer het geval zijn. Volgens Ars Technica is Google inmiddels begonnen met het bannen van apps die toch om toegang tot je bel- en sms-geschiedenis blijven vragen. Deze blokkade is in het leven geroepen om meerdere risico’s voor gebruikers te voorkomen, zo lekken contactlijsten met deze blokkade niet langer uit, ook kan toegang tot bel- en sms-geschiedenis leiden tot extra kosten als een app misbruik maakt van de bestaande API. Dat kon bijvoorbeeld door een telefoongesprek op afstand op te zetten, of door sms’jes te versturen naar betaalde telefoonnummers.
Nieuwe API’s voor tijdelijke toegang
Google schrijft op zijn supportpagina dat ontwikkelaars wel (tijdelijk) toestemming kunnen verkrijgen, mits daar door de gebruiker natuurlijk toestemming voor gegeven is. Er zijn momenteel maar drie apps die te allen tijde toegang mogen hebben tot je bel- en sms-geschiedenis; dat zijn je standaard bel- en sms-apps, naast de ‘standaard’ digitale assistent op je telefoon, zoals Google Assistant. Wel geeft Google ontwikkelaars van een beperkte variëteit aan applicaties de mogelijkheid om gebruik te maken van de toestemmingen, dat geldt enkel als de app de toegang nodig heeft om zijn ‘core-functionality’ te laten werken. Google specificeert onder andere apps zoals back-up apps, caller-ID/Spamdetectie-apps, maar ook apps voor smartwatches en automatisering van taken op Android moeten hier voortaan toegang voor aanvragen. Het is zeer waarschijnlijk dat Google met een API gaat komen om deze apps niet meer langdurig van toegang te voorzien tot de gegevens van gebruikers.
Naast een mogelijke API die wordt opgezet voor de apps die nu tijdelijk toestemming kunnen krijgen, zijn er nu ook een viertal intents die gebruikt kunnen worden om een specifieke aanvraag te doen bij het besturingssysteem. Zo is er een OTP en Account Verification intent die automatisch de verificatiecode zal herkennen en in kan vullen in je applicatie. Ook kan je via een intent een sms-bericht aanmaken, die nog wel door de gebruiker verstuurd moet worden. Verder zijn er intents voor het delen van een bericht, maar ook voor het starten van een telefoongesprek. Voor de eerste drie is er wel de toestemming nodig vanuit de gebruiker om gegevens te verkrijgen, bij de ‘Dial intent’ is er geen toestemming nodig.
