smartphone

Onderzoekers van de Technische Universiteit Twente gaan de strijd aan met applicaties die informatie lekken, toegang willen tot zaken waar ze niets te zoeken hebben of gewoon slecht werken. Hoe? Ze introduceren de guardian!

Het is donker buiten en je staat te hannesen met je sleutelbos en boodschappen. De sleutels glijden uit je hand. Waar zijn ze nou? Je start – op de tast – een zoektocht. Zonder resultaat. Na enkele minuten ben je de wanhoop nabij, niet in de laatste plaats omdat het ijs zo langzamerhand uit je boodschappentas begint te druipen. Haastig grijp je je smartphone en zoek je naar een app die uitkomst kan bieden. Je besluit de eerste en beste zaklamp die je tegenkomt te installeren. Direct verschijnt er een pop-up. De app wil toegang tot het internet en je adresgegevens. Jij wilt alleen je sleutels maar terugvinden en dus druk je op ‘OK’. “Een zaklamp die het internet op wil, dat lijkt niet zo nuttig,” merkt professor Pieter Hartel, hoogleraar informatica aan de Universiteit Twente, op. “En wat gaat die app doen met je adresgegevens?”

Permissies
Jaarlijks worden er wereldwijd tientallen miljarden apps gedownload. Een groot deel daarvan zal om bepaalde permissies vragen. Bijvoorbeeld toegang tot het internet of je adressenbestand of permissie om je locatie te achterhalen en te gebruiken. In sommige gevallen is dat logisch. Zo heb je niets aan een navigatie-app die je locatie niet mag weten. Maar soms zijn de gevraagde permissies ronduit vreemd. Denk aan een zaklamp die online wil of een spelletje dat je locatie wil weten. “Hoewel dat niet zo nuttig lijkt, drukken mensen dan toch vaak op ‘OK’,” weet Hartel. “Je wilt die app nu eenmaal hebben.”

“Als je googlet op termen als ‘malware’ en ‘Android’ krijg je 28 miljoen hits. Die krijg je niet als er geen probleem is”

Malware
Dat het lang niet altijd verstandig is om allerlei obscure apps toegang te geven tot je adressenbestand, internet en wat al niet meer, is wel duidelijk. “Als je googlet op termen als ‘malware’ en ‘Android’ krijg je 28 miljoen hits. Die krijg je niet als er geen probleem is.” En ook iOS (het besturingssysteem van Apple) is wat dat betreft niet waterdicht. “Wie die term combineert met de term ‘malware’ krijgt twintig miljoen zoekresultaten.” Dat het er aanzienlijk minder zijn dan Android komt waarschijnlijk doordat Apple de apps screent alvorens ze in de appstore belanden. Dat is in Apple te prijzen. “Maar aan de andere kant is Android een interessanter platform voor open innovatie.” Vandaar dat Hartel in de strijd tegen ongewenste permissies ook niet direct denkt aan een strenger screeningsbeleid. “Als je alles dichtspijkert, kan er niets meer.”

Bloeddrukmeter
Maar hoe kunnen we de strijd met ongewenste permissies dan aangaan? Dat is exact waar Hartel en zijn collega’s in samenwerking met het IT-bedrijf Centric, het ministerie van Justitie en TNO onderzoek naar gaan doen. Het onderzoeksproject maakt onderdeel uit van het lange-termijn-onderzoeksprogramma Cyber Security. “Wij willen de helpende hand bieden aan de gebruiker,” vertelt Hartel. De onderzoekers richtten zich daarbij niet op mensen die Angry Birds, zaklampen, kekke screensavers en andere ludieke applicaties downloaden, maar op de gebruiker van wat zij ‘serious apps’ noemen. “Denk aan een app die bijvoorbeeld je bloeddruk in de gaten houdt. Het is natuurlijk zaak dat die bloeddruk goed gemeten wordt en dat de informatie niet gelekt wordt.” Heel concreet betekent het dat de gebruiker in een woud aan bloeddrukmeters de juiste, integere bloeddrukmeter moet zien te kiezen die doet wat hij moet doen en geen toegang vraagt tot zaken waar hij niets mee nodig heeft. Maar dat is nog niet zo eenvoudig. “Wij willen kijken of we die gebruikers kunnen helpen.” Hoe? Door een guardian in te stellen. “Die guardian is iemand die je kan helpen om in de appstore een goed en gezond besluit te nemen. Iemand die op zo’n moment zegt: installeer deze app maar.”

“Het is best ingrijpend, daarom willen we dit proces in een later stadium ook zoveel mogelijk automatiseren”

Maak kennis met…de guardian
In eerste instantie is zo’n guardian nog een persoon, een mens zoals jij en ik. Dat kan bijvoorbeeld je dokter of je fysiotherapeut zijn. “Stel je hebt een fysiotherapeut en die heeft een aantal klanten die last hebben van hun knie en met behulp van een app oefeningen moeten doen. Dan kan de fysiotherapeut meedenken en advies geven over welke app het meest geschikt is. Hij zou bijvoorbeeld op een schermpje de toestand van de smartphone van alle klanten kunnen monitoren. Is de smartphone groen, dan is alles in orde. Is de smartphone rood, dan loopt deze een risico. In dat geval zijn er bijvoorbeeld apps die niet goed samenwerken met de trainingsapp.” Als een smartphone gevaar loopt, kan de guardian de betreffende smartphone een berichtje sturen. En als een gebruiker een trainingsapp wil installeren, kan hij deze eerst aan de guardian voorleggen. “De guardian kan dan concluderen of dat een goed idee is.” Hartel is zich ervan bewust dat het flink wat vraagt van de guardian. “Het is best ingrijpend, daarom willen we dit proces in een later stadium ook zoveel mogelijk automatiseren.”

Is het publiek er klaar voor?
Het is best een aardig idee zo’n guardian, maar zit het publiek – dat nu toch al een aantal jaren zijn eigen boontjes dopt – daarop te wachten? “Daar gaan we zeker onderzoek naar doen. Bijvoorbeeld door gebruikers met zo’n guardian te laten werken.” Maar Hartel denkt wel dat mensen op zo’n al dan niet geautomatiseerde beschermengel zitten te wachten. “Er is al heel veel aan dit probleem gedaan, maar al die onderzoeken richtten zich op technische trucs om informatielekken en andere problemen te voorkomen. Het onderzoek bleef altijd in de techniek hangen en dat resulteerde dan weer in een nieuwe pop-up die vraagt: “is het oké om dit of dat te doen?”. Wij vragen de guardian om over de schouder van de gebruiker mee te kijken en mee te denken. Dat is een stuk inspirerender dan weer een pop-up.”

Vier jaar
Mede dankzij een beurs van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek kan Hartel samen met collega’s de komende vier jaar onderzoek gaan doen naar het idee van de guardian. Onderzoeksvragen zijn er genoeg. “Zijn fysiotherapeuten bereid om hier aandacht aan te besteden? En zonee, wie kan dat dan doen? Kunnen we er misschien een nieuwe dienstverlening van maken? En hoe blij zijn mensen hiermee: wat kost het en wat levert het op? Tenslotte gaan we ook veel leren van de manier waarop onze proefpersonen met hun apps omgaan. Die kennis gaan we gebruiken om richtlijnen voor het maken van serious apps op te stellen.”

Mocht het onderzoek daadwerkelijk resulteren in guardians die mensen helpen om verstandig om te gaan met veiligheids- en privacy-risico’s die samenhangen met het gebruik van de met apps beladen smartphone, dan is Hartel één van de eersten die zo’n guardian in de arm neemt. “Ik zit ook wel eens naar een schermpje waarop permissies worden gevraagd, te kijken. En dan denk ik: Wat moet ik daar nu mee? Je wilt iets hebben en dan komen er allemaal van die stoorvragen doorheen. Als iemand je daarbij kan helpen dan geeft dat een fijn, warm gevoel.