Shazam laat de microfoon van je Mac aan, ook als je de app uitzet

Shazam heeft er zelf geen slechte bedoelingen mee, maar wat nou als er malware in de app sluipt?
15 november 2016, 9:58am
Beeld: BrAt82/Shutterstock

Welk nummer is dat? Op telefoons kan de populaire app Shazam die vraag in een paar seconden beantwoorden. Op computers van Apple doet Shazam nooit de microfoon uit, zelfs niet als je dat zelf instelt.

Als iemand de Mac app van Shazam op "UIT" zet, laat de app de microfoon gewoon op de achtergrond aanstaan. Volgens de veiligheidsonderzoeker die dit ontdekte is het een foutje waar de gebruikers van moeten weten. Volgens Shazam is het slechts een toepassing die ervoor zorgt dat de app beter werkt.

"Er is geen problemen met privacy, aangezien het geluid niet wordt verwerkt totdat een gebruiker de app aan zet," schreef James Pearson, onderdirecteur wereldwijde communicatie van Shazam, in een e-mail. "Als de microfoon niet aan zou blijven, doet de app er langer over om deze aan te zetten en het geluid binnen te halen, waardoor de kans groter wordt op ontevreden klanten omdat ze een nummer dat ze wilden opslaan 'missen.'"

Patrick Wardle, een voormalige NSA-hacker die gratis veiligheidstoepassingen voor Macs maakt, ontdekte het probleem met zijn nieuwe software OverSight. Deze software is ontworpen om gebruikers te waarschuwen als apps hun webcam en microfoon gebruiken. Nadat hij OverSight uitbracht, kreeg Wardle een e-mail van een gebruiker die had gezien dat Shazam nog steeds meeluisterde, terwijl hij het programma had afgesloten.

Benieuwd naar deze ontdekking, en bang dat zijn eigen software een vals alarm gaf, onderzocht Wardle de Shazam-app om te kijken wat er aan de hand was. Nadat hij de code een paar uur analyseerde, ontdekte Wardle dat Shazam eigenlijk nooit stopt met luisteren. Dit legde hij maandag dan ook uit in een blogpost.

Hoewel dit een beetje griezelig klinkt, denk Wardle dat er geen sprake is van "kwaadaardigheid." Met andere woorden, Shazam is je niet echt aan het bespioneren, maar de app heeft haar werkwijze niet openbaar gemaakt, en "gebruikers zouden alles moeten weten," volgens hem.

"Als ik iets uitzet dan moet 'uit' ook echt 'uit' betekenen," vertelt Wardle aan Motherboard. "Het is fijn dat ze de data niet verwerken, maar ja, ze zijn ons alsnog aan het opnemen."

Pearson bevestigde dat de app de microfoon de hele tijd aan laat, maar is het niet met Wardle eens dat het een foutje is. Shazam slaat namelijk geen geluidsfragmenten op en stuurt deze ook niet door, maar richt zich alleen op "samenvattende digitale vingerafdrukken van het geluid."

Pearson schreef in zijn statement dat de microfoon alleen "vanwege technische redenen" aanstaat, maar dat "er geen geluid wordt verwerkt, dus als een gebruiker de app niet volledig wil gebruiken, wordt dat volledig gerespecteerd."

Om deze redenen zegt Pearson niets te veranderen aan de app, aangezien "er geen reden is om iets te veranderen."

"Als ik iets uitzet dan moet 'uit' ook echt 'uit' betekenen."

Wardle bevestigde na het uitgebreid onderzoeken van de app, dat het de geluiden inderdaad niet verwerkt als de app uitstaat.

"Ik zag geen aanwijzingen dat de opgenomen data ook wordt verwerkt (niet opgeslagen, exfiltreerd, etc.)," schreef Wardle in zijn blogpost, die hij van te voren met Motherboard deelde. "Maar alsnog hou ik niet van een app die blijkbaar continu geluid met mijn computer opneemt."

Dat is iets slechts volgens Wardle, omdat er een stukje malware in de app kan komen die meelift op deze functie om gebruikers op te nemen, zonder dat er ook maar een alarmbel gaat rinkelen. Shazam zou de werkwijze van de app moeten veranderen. "Als gebruikers moeten we er nu op vertrouwen dat ze er niets mee gaan doen."

Dus is het aanlaten van de microfoon – zelfs als je de app uitzet – een toepassing of een fout? Dat mag jij zelf beslissen. Wardle heeft de app in ieder geval verwijderd.