Android-gebruikers die apps als Facebook of Instagram op hun telefoon hebben staan, zijn jarenlang in het geheim gevolgd. Uit onderzoek van onder meer de Radboud Universiteit blijkt dat het moederbedrijf Meta het online gedrag van gebruikers kon registreren, zelfs buiten hun eigen apps om en zelfs tijdens het gebruik van de incognitomodus van een browser.

Meta en het Russische techbedrijf Yandex maakten gebruik van een ‘verborgen kanaal’ in het Android-besturingssysteem. Hiermee verzamelden hun apps gegevens over wat gebruikers deden op miljoenen websites, zonder dat zij daar toestemming voor gaven of hiervan op de hoogte waren. De data werden vervolgens gekoppeld aan persoonlijke gegevens zoals naam en e-mailadres, waardoor een gedetailleerd gebruikersprofiel werd opgebouwd.
De tracking gebeurde via stukjes code die op websites waren ingebouwd. Meer dan acht miljoen sites wereldwijd bleken besmet met deze code. De apps draaiden op de achtergrond een mini-webserver die gegevens onderschepte via technieken als WebRTC of AppMetrica. Zelfs websitebouwers en ontwikkelaars bleken niet te weten dat hun platformen op deze manier misbruikt werden.

Update
Google werkt inmiddels aan een update voor Chrome en Android om dit misbruik te blokkeren. Ook browsers als DuckDuckGo hebben maatregelen genomen. Toch blijft het risico bestaan zolang Android toelaat dat apps via interne communicatiekanalen data doorspelen.
De onderzoekers pleiten voor strengere regels in appwinkels. Tot die tijd adviseren zij gebruikers om kritisch te zijn op welke apps ze installeren, het aantal machtigingen te beperken, en privacygerichte browsers te gebruiken. “Deze manier van volgen is ongekend,” aldus onderzoeker Gunes Acar. “Wat je dacht privé te doen, wordt ongemerkt vastgelegd.”