Top reisapps verzamelen ongevraagd je gegevens: Tripadvisor, Expedia, Booking.com zijn erbij

Volgens het onderzoek vertelt de helft van 22 veelgebruikte horeca- en vakantieplanningsapps, waaronder Booking.com, niet aan klanten dat ze hun locatiegegevens verzamelen. Sommige apps kunnen gewoon sms-berichten van gebruikers lezen, toegang krijgen tot de camera en microfoon en de bestanden lezen. Sommige van de geteste apps kunnen zelfs bellen namens de gebruiker.

"Een goed ontworpen app zou alleen toestemmingen moeten vragen die essentieel zijn voor de functionaliteit, dus gebruikers moeten altijd voorzichtig zijn met het verlenen van toestemmingen aan apps en deze zorgvuldig beoordelen. Apps die om gevoelige toestemmingen vragen, in het bijzonder die met betrekking tot de systeembestanden en -configuratie van het apparaat, zijn rode vlaggen die mogelijk duiden op kwaadwillende bedoelingen of slecht code-ontwerp," aldus Cybernews beveiligingsonderzoeker Mantas Kasiliauskis.

Alle apps hebben toegang tot een exacte locatie

Uit onderzoek blijkt dat alle geteste apps toegang hadden tot de exacte en nauwkeurige locatie van de gebruiker, inclusief lengte- en breedtecoördinaten. Helaas besloten veel van hen deze informatie geheim te houden. Booking.com, Agoda, Momondo, Hilton Honors en de andere zes apps maken het verzamelen van locatiegerelateerde gegevens niet bekend.
Reis-apps vragen vaak toegang tot de precieze locaties van gebruikers om betere diensten te kunnen aanbieden. Door deze toegang te verlenen, kunnen deze apps echter je bewegingen volgen en te weten komen waar je woont en werkt.
Een dozijn apps heeft toegang tot je camera
14 van de 22 geteste reisapps hebben toegang tot de camera van het apparaat om foto's te maken, video's op te nemen en videogesprekken te voeren. Een app kan dit doen zonder toestemming van de gebruiker, waardoor de privacy en veiligheid van de gebruiker in gevaar komen. 
Tien apps hebben het verzamelen van cameragerelateerde gegevens niet vermeld in de Google Play Store. Onder andere Agoda, Marriott Bonvoy, Radisson Hotels, Trip.com en Momondo. Degenen die dit bekendmaakten zeiden dat deze toestemming meestal nodig was voor "app functionaliteit" en "analytics". Booking.com, Tripadvisor, MakeMyTrip, HostelWorld en HotelTonight verklaarden cameragerelateerde gegevens te verzamelen.

Sommige apps kennen je telefoon- en IMEI-nummers

Volgens het onderzoek hebben sommige reisapps bijzonder riskante toegangen waarmee ze de telefoonstatus kunnen lezen, waardoor ze de gebruiker en het apparaat kunnen identificeren. Booking.com, Expedia, Hilton Honors, Hotels.com, Hotwire, Trip.com en andere apps hebben toestemming om de telefoonstatus te lezen. 

Deze toestemming maakt het mogelijk om verschillende gebruikersidentificatoren te extraheren, zoals de International Mobile Equipment Identity (IMEI), de International Mobile Subscriber Identity (IMSI), het telefoonnummer, het serienummer van het apparaat en de unieke identificatie voor de SIM-kaart. Een belangrijk punt van zorg is dat apps voor het boeken en verhuren van hotels geen legitieme reden hebben om dergelijke toestemming van gebruikers te vragen, omdat ze deze niet nodig hebben om goed te functioneren.

MakeMyTrip app kan je SMS-berichten lezen

Onderzoek wees uit dat MakeMyTrip, een populaire Indiase app met meer dan 50 miljoen downloads voor het boeken van hotels, vluchten en vervoer, SMS-berichten kan lezen die op het apparaat zijn opgeslagen. Dit omvat informatie over de afzender en ontvanger en de datums van de berichten.

HotelTonight kan bestandssystemen manipuleren

Een app voor het boeken van accommodatie van Airbnb - HotelTonight - vraagt gebruikers toegang om bestandssystemen op het apparaat te mounten en unmounten.  

Een bestandssysteem is een integraal onderdeel van een besturingssysteem (OS). Het organiseert bestanden en mappen, volgt hun locaties en onderhoudt metadata over de bestanden, zodat gegevens efficiënt kunnen worden opgevraagd en opgeslagen. De ontdekte toestemming stelt de app in staat om bestanden op systeemniveau te manipuleren en te wijzigen, wat tot ernstige beveiligingsrisico's kan leiden.

Hilton kan open dialoogvensters op je apparaat beheren 

De Hilton Honors app heeft toestemming om toegang te krijgen tot de onderdelen op systeemniveau van het apparaat. Met deze toestemming kan een app het systeem verzoeken om alle open systeemdialoogvensters te sluiten, inclusief kritieke gebruikersinterfacecomponenten (UI) zoals de meldingsschaduw, het scherm met recente apps en het aan/uit-dialoogvenster.

Hoewel deze toestemming voornamelijk wordt gebruikt door het systeem van het apparaat, kan onjuist gebruik ervan ertoe leiden dat de app geforceerd systeemdialogen sluit en de normale werking van de UI van het apparaat verstoort.

Chinese reus kan talen wijzigen en instellingen aanpassen 

De app Trip.com, die meer dan 10 miljoen keer is gedownload, kan de systeeminstellingen en configuratie van een apparaat wijzigen. Deze app heeft potentieel het recht om te knoeien met de configuratie van een apparaat, zoals het wijzigen van de taal, schermoriëntatie, toetsenbordindeling en andere apparaatinstellingen. Hiermee kan de app systeeminstellingen zoals WiFi, Bluetooth, geluid of beeldscherm wijzigen.

Veertien reisapps kunnen je bestanden lezen

Veertien reisapps hadden de mogelijkheid om te lezen en te schrijven naar externe opslag, terwijl Hopper alleen de bestanden kon lezen die op het apparaat waren opgeslagen. (5) Slechts drie apps (Booking.com, MakeMyTrip en HotelTonight) zijn transparant over het verzamelen van "bestanden en documenten". Tegelijkertijd besloot de rest, zoals Tripadvisor, Agoda, Hotels.com, Trip.com en anderen, te zwijgen over het recht om bestandsgerelateerde gegevens te verzamelen.

Toestemming om toegang te krijgen tot de opslag van een apparaat is gevoelig omdat het een app in staat stelt om gegevens op externe opslag, waaronder een SD-kaart en andere externe media, te openen, schrijven, wijzigen of verwijderen. Toegang tot de opslag van een apparaat kan ook gebruikersbestanden omvatten, zoals foto's, video's, documenten en andere vertrouwelijke informatie. 

Sommige apps hebben toegang tot je microfoon en kunnen namens jou bellen

Drie van de tweeëntwintig geteste reisapps - Hotwire, Trip.com en MakeMyTrip - hebben toestemming om toegang te krijgen tot de microfoon van het apparaat en audio-invoer op te nemen. Trip.com onthulde in de Play Store dat het stem- en geluidsopnames verzamelt. MakeMyTrip en Hotwire daarentegen maken het verzamelen van audiogerelateerde gegevens niet openbaar, maar de toestemming voor toegang tot de microfoon is ingebouwd in hun apps. Booking.com verklaart in de Play Store dat het audiogerelateerde gegevens verzamelt.

Deze apps weten wie er op je contactenlijst staat

Bij drie reisapps - MakeMyTrip, Hilton Honors en Hopper - werd toestemming gevonden om gebruikers in staat te stellen de contactlijsten van een apparaat te lezen. Dit is zeer verontrustend, omdat reisapps geen toegang tot contactlijsten van gebruikers nodig hebben om de reizen van klanten te regelen. MakeMyTrip is transparant, terwijl de ontwikkelaars van Hilton Honors en Hopper apps niet bekendmaken dat ze gegevens over contactpersonen verzamelen.