Много безплатни здравни приложения са тайни шпиони на данни

06.06.2017, 19:35 | t-online.de, hd

Любопитството на здравните приложения е голямо, както показва този преглед. (Източник: AV-Test, TU Brandenburg)

Те работят с по-чувствителни потребителски данни от всяка друга програма. Независимо от това здравните приложения често пренебрегват защитата на данните. И те захранват с безплатни програми, които тайно Събиране и продажба на потребителски данни. Това беше разкрито от проучване на института AV-TES T, което t-online.de е получило предварително.

Здравните приложения са много популярни. Но много от тях са тайни събирачи на данни. (Източник: imago images)

Те отчитат изминати километри, консумирани калории и плодородни дни. Те регистрират високо кръвно налягане, депресия и недохранване. Те изпращат спешни повиквания, дават здравни съвети, помагат за намиране на лекар и лекарства и дори ви напомнят да приемате лекарства навреме. Здравните приложения за смартфони с Android обещават подкрепа за болни и за хора, които искат да живеят по-здравословно. Всъщност повече от 100 000 такива приложения помагат на милиони хора да спортуват повече, да се хранят по-добре, да записват и интерпретират телесни стойности и сигнали и да оптимизират собственото си поведение. Това води до огромен и нарастващ пазар за разработчици на приложения, спортна, медицинска и индустриална индустрия, но също така и за рекламодатели, здравни застрахователи и други компании, които правят бизнес с потребителски данни.

Противоречиви потребителски данни - записали сте себе си

Такива приложения събират подходящи данни за своите потребители чрез множество сензори, вградени в смартфони. Същото се отнася за бързо нарастващия брой периферни устройства като везни, фитнес тракери и други измервателни устройства. И не на последно място, потребителите въвеждат доброволно данните, изисквани от приложенията; винаги с предположението, че доставчиците на приложения ще третират исканите данни поверително и ще ги защитят съответно. За разлика от други приложения, наличните в Google Play Store приложения в категориите „Здраве и фитнес“, „Медицина“ и „Начин на живот“ събират и използват много лична информация, включително здравни данни.

Проверени са 60 приложения за защита на данните

60-те приложения, проверени от експертите по защита на данните в института AV-TEST, показват широк разрез на приложенията за електронно здравеопазване, предлагани безплатно в Google Play Store. Сред тях бяха Android програми за диагностициране на възможни заболявания, приложения за търсене на медицинска информация, аптеки и лекари, фитнес тракери и приложения за мониторинг на медицински стойности, като броячи на калории, дневници за диабет и плановици за плодовитост, приложения за наблюдение на съня и бебешки дневници.

Високи правни препятствия

Съгласно европейската директива за защита на данните, германския федерален закон за защита на данните и други закони, личните данни подлежат на специална защита. Например за тяхното събиране, обработка и използване е необходимо съгласието на заинтересованото лице. Освен това информацията за събирането, обработката и използването на данни трябва да бъде "изчерпателно и прозрачно" и обработката и използването на данни в чужбина трябва да бъдат обявени. По отношение на здравните данни тези законови изисквания са много по-рестриктивни.

Опасения от потребители

Тези законови изисквания вероятно ще отговорят на притесненията на потребителите на такива приложения: Според текущо проучване на института Allensbach потребителите не са склонни да споделят данните от своя фитнес тракер с компании, като здравните си застрахователи. Дори предаването на данни за фитнес да доведе до частично възстановяване на вноските за здравно осигуряване, повече от половината от всички респонденти биха били против.

Безплатни помощници като примамка за данни

Законовите изисквания и притесненията на потребителите обаче са в противоречие с това колко доставчици на приложения за електронно здравеопазване се занимават с потребителски данни на практика: Вместо да предлагат ефективна защита на данните, те примамват потребителите с безплатни приложения, за да имат достъп до техните здравни данни. Експертите от института AV-TEST провериха обхвата и качеството на данните, записани от приложенията. По този начин те също ги поставят във връзка с целта на използване и съответно претеглят събирането на данни. Служителите по защита на данните провериха дали и доколко доставчиците на приложения отговарят на законовите изисквания на задължението за информация за събиране и използване на данни. Те също така провериха трафика на приложенията. По този начин те изследваха кои инструменти са използвали приложенията за събиране на данни и през кои канали са преминавали тези данни.

Над 80 процента без подходяща политика за поверителност

Дори със законово изискуемата информация на потребителя за събирането и използването на данни, доставчиците на здравни приложения се провалят: от 60 проверени приложения за Android само 32 предлагат директна връзка от Google Play Store към декларация за защита на данните. Обаче само 22 могат да бъдат достигнати чрез връзката, десет потребители не водят никъде или до осиротели уебсайтове. Само 19 от 60 приложения предлагат декларация за защита на данните, която е пряко свързана с разгледаното приложение. В 53 от 60 приложения съществуващите декларации за защита на данните са от 2014 г. или по-стари - или няма информация за валидността на декларацията.

В комбинация с интелигентните часовници приложенията събират много данни от своите потребители. (Източник: Imago)

Google предприема действия срещу оплакванията

Тези оплаквания сега очевидно са трън в очите на Google, тъй като операторът на най-големия магазин за приложения в света обяви драстични мерки за разработчиците на приложения: В началото на февруари 2017 г. Google информира доставчиците на приложения по имейл, ако техните приложения не спазват правилата на Play Store за обработка на потребителски данни. Американската група определи краен срок до 15 март 2017 г., за да коригира всякакви оплаквания. В противен случай съществува риск от драстични мерки до изключване от Google Play Store, включително. Според изчисленията на медийния портал „The Next Web“, това може да засегне милиони приложения в бъдеще. През 2014 г. проучване на GPEN потвърди, че 85 процента от приложенията имат недостатъчни декларации за защита на данните.

Само осем приложения не изискват достъп

Независимо дали е налична или не декларация за защита на данните, много от приложенията на eHealth, проверени от AV-TEST, са изключително достъпни, когато става въпрос за информация от техните потребители. Разрешенията за достъп, които приложенията си дадоха в практическия тест на мобилните устройства, бяха съответно обширни. Освен достъп до данни за потребителите и устройствата, много приложения също се нуждаят от достъп до снимки и други данни, съхранявани на мобилни устройства. Също така много популярни: геоданни, както и идентификационен номер на устройството и информация за обаждането. Дванадесет приложения се нуждаят от директен достъп до камерата, 7 искат да използват микрофона свободно, а три дори пълните телефонни функции на смартфоните. Само осем приложения в теста не изискват разрешения за достъп.

77 от 187 достъпа бяха критични

Тестерите провериха необходимостта от правата за достъп, изисквани от приложенията, като взеха предвид функционалността на приложението. Ако правата за достъп до основните функции не са били необходими или необходимостта не е очевидна, те са оценили такъв достъп като „критичен“. От 186 заявки за достъп, генерирани в теста, експертите оцениха 77 заявки като ненужни за използването на приложението и следователно „критични“. Например приложение за запис на женския цикъл иска да бъде информирано за местонахождението на своите потребители. Друго приложение, предлагано за разпространение на съответната информация чрез социалните мрежи. AV-Test скоро ще публикува резултатите от тестваните приложения.

Несигурен трансфер на данни към Facebook

Тестерите изследваха и трафика на данни от приложенията на eHealth. Беше показано, че доставчиците в приложенията вече масово работят с инструменти за събиране на данни и инструменти за проследяване от доставчици на трети страни от рекламната индустрия, включително Google и Flurry Analytics, Baidu и автоматизирания трансфер на данни към Facebook.

Фитнес данните са вълнуващи за спортисти. За много компании също. (Източник: imago images)

Рекламните мрежи остават анонимни и неоткрити

Също така беше забележимо, че доставчиците на приложения, дори ако информират потребителите за прехвърляне на данни към трети страни посредством политика за поверителност, в най-добрия случай наречена „Google Analytics“. Всички други рекламни мрежи останаха неназовани и се разкриха само в лабораторията чрез анализ на трафика на данни на приложенията със специален криминалистичен софтуер. За неопитни потребители автоматизираното прехвърляне на техните данни на трети страни за рекламни цели не е нито очевидно, нито може да бъде ограничено по някакъв начин.

Нешифровано предаване на данни

Като част от тези тестове беше показано също, че данните от всякакъв вид се обменят между приложенията и сървърите на доставчиците и свързаните рекламни мрежи. Информацията, която атакуващите могат лесно да прихванат, включва чувствителни потребителски данни, като регистриране на удостоверения, т.е. също потребителски имена и свързани пароли. В допълнение към факта, че някои приложения предават чувствителни данни от своите потребители на трети страни без тяхно знание, има и фактът, че адекватните защитни мерки, като например криптиран трафик на данни, се отказват от.

Защитата на данните е основно право

Въпреки че здравните приложения се използват все повече и повече на устройствата на потребителите в Германия и Европа от години, все още няма официален контрол на качеството или печати за одобрение за оценка на надеждността и качеството на защита на данните на такива приложения. Търсенето на повече защита на данните от частни доставчици като Google е радостно, но не е много надеждно. В крайна сметка, компанията сама по себе си е един от най-големите събирачи на данни в света.

Потребителите могат да направят това

До правилното прилагане на законовите разпоредби, потребителите на здравни приложения са оставени на собствените си устройства, за да защитят своите данни. Както показва настоящото проучване, трябва внимателно да проверите кои приложения разрешавате на вашия смартфон или таблет. Преди инсталацията е важно, доколкото е възможно, да проверите правата за достъп на приложението в App Store, за да държите шпионите на данни далеч от вашите мобилни устройства.