Ny granskning: Appar ignorerar användarnas samtycke
Anton IvermanEn ny granskning visar att en stor andel av de mest använda apparna inom bank, vård, hälsa, livsmedel och utbildning skickar vidare användarnas data till externa aktörer, ofta utanför EU. Enligt rapporten sker överföringarna i många fall trots att användaren uttryckligen nekat samtycke eller aldrig fått frågan. Undersökningen har genomförts av Shibuya och Peak Privacy och omfattar de 75 mest använda apparna inom fem samhällsviktiga kategorier.
Majoriteten av apparna skickar data till externa aktörer
Granskningen visar att 87 procent av de analyserade apparna skickar information till externa mottagare. Av dessa överför 95 procent data till länder utanför EU, främst USA och Kanada.
Särskilt bank- och livsmedelsappar sticker ut. Samtliga granskade appar inom dessa kategorier genomför så kallade tredjepartsanrop, där information delas med externa tjänster eller nätverk.
”Problemet gäller många av de appar vi använder i vardagen, men blir särskilt allvarligt när det rör samhällsbärande tjänster som vi ska kunna lita på fullt ut”, säger Andreas Lundgren, ansvarig för compliance och security på Shibuya.
Data skickas trots nekat samtycke
Analysen genomfördes i Peak Privacys testmiljö där apparna kördes och deras nätverkstrafik loggades automatiskt. Resultatet visar att all dokumenterad trafik skickades utan användarens godkännande.
I vissa fall hade användaren aktivt nekat samtycke. I andra fall hade appen aldrig efterfrågat något samtycke över huvud taget.
Testmiljön identifierade bland annat vilka mottagare som tog emot datapaketen, var de var geografiskt placerade och vilken typ av information som överfördes.
Branschens beroende av tredjepartskomponenter pekas ut
Vibeke Specht, dataskyddsspecialist och medgrundare till Peak Privacy, menar att många apputgivare saknar full insyn i vad deras appar faktiskt gör i bakgrunden.
”De flesta app-utgivare vet inte vad deras egen app gör i bakgrunden. Färdiga komponenter följer med från utvecklare och leverantörer, ofta utan att den som publicerar appen vet vad de skickar eller till vem.”
Hon pekar på att infrastrukturen bakom den globala annonsindustrin ofta byggs in i appar som inte har någon direkt koppling till reklam.
Kry lyfts fram som positivt exempel
Granskningen identifierade även appar med starkare integritetsskydd. Ett av exemplen är vårdappen Kry, som enligt rapporten inte gjorde några anrop till tredjepartsnätverk för annonsering eller beteendespårning.
All trafik från appen ska ha gått till Krys egna servrar inom EU och EES.
Andreas Mattsson, chief architect på Kry, framhåller att säkerhet och integritet har varit prioriterade områden sedan verksamheten startade.
”Kvalitet och säkerhet är grundstenar i sjukvården och för Kry är det därför en självklarhet att vår app ska följa de krav som patienterna förväntar sig.”
Företag uppmanas ta större kontroll över sin data
Enligt Andreas Lundgren är apparnas datahantering bara en del av en större utmaning kring digital säkerhet och kontroll över information.
Han menar att cyberresiliens i grunden handlar om att veta var data lagras, hur den övervakas och vem som har tillgång till den.
”Genom att ta tillbaka kontrollen över datan skapar vi företag och ett samhälle som bättre kan stå emot hotbilder.”
FAQ
Hur många appar granskades?
Totalt analyserades 75 av de mest använda apparna inom bank, vård, hälsa, livsmedel och utbildning.
Hur många appar skickar data till externa aktörer?
Granskningen visar att 87 procent av apparna skickar information till externa mottagare.
Vart skickas datan?
Majoriteten av överföringarna går till länder utanför EU, främst USA och Kanada.
Skickas data även när användaren nekar samtycke?
Ja, enligt rapporten dokumenterades överföringar även när användaren aktivt nekat samtycke eller aldrig fått frågan.
Vilken app lyfts fram som ett positivt exempel?
Krys app pekas ut som ett exempel där trafiken stannade inom EU/EES och där inga tredjepartsanrop för annonsering eller spårning identifierades.