7 i 10 Smartphone Apps Del dataene dine med Tredjepartstjenester

7 i 10 Smartphone Apps Del dataene dine med Tredjepartstjenester
Bilder fra smarttelefoner er geotagged selv når brukeren er uvitende. Smartphone-brukere kan justere personverninnstillingene for å begrense hvem som kan se deres geografiske steder. (Foto Kreditt: US Army Graphic)

Våre mobiltelefoner kan avsløre mye om oss selv: hvor vi bor og arbeider hvem vår familie, venner og bekjente er; hvordan (og selv hva) vi kommuniserer med dem; og våre personlige vaner. Med all informasjon som er lagret på dem, er det ikke overraskende at brukere av mobilenheter tar skritt for å beskytte deres personvern, som bruker PIN-kode eller passord å låse opp telefonene sine.

Forskningen som vi og våre kolleger gjør, identifiserer og utforsker en betydelig trussel som de fleste savner: Mer enn 70 prosent of smarttelefonapplikasjoner rapporterer personopplysninger til tredjeparts sporingsselskaper som Google Analytics, Facebook Graph API eller Crashlytics.

Når folk installerer en ny Android- eller iOS-app, spør den brukerens tillatelse før de får tilgang til personlig informasjon. Generelt sett er dette positivt. Og noe av informasjonen som disse appene samler, er nødvendige for at de skal fungere skikkelig: En kartapp ville ikke være nesten like nyttig hvis den ikke kunne bruke GPS-data for å få en plassering.

Men når en app har tillatelse til å samle inn den informasjonen, kan den dele dataene dine med alle appens utvikler ønsker å la tredjeparts selskaper spore hvor du er, hvor fort du beveger deg og hva du gjør.

Hjelp og fare for kodebiblioteker

En app samler ikke bare data som skal brukes på selve telefonen. Mapping apps, for eksempel, send posisjonen din til en server som kjøres av appens utvikler for å beregne retninger fra hvor du er til ønsket destinasjon.

Appen kan sende data andre steder også. Som med nettsteder skrives mange mobilapps ved å kombinere ulike funksjoner, prekodet av andre utviklere og selskaper, i det som kalles tredjepartsbiblioteker. Disse bibliotekene hjelper utviklere spore brukerengasjement, Koble til sosiale medier og tjene penger ved å vise annonser og andre funksjoner, uten å skrive dem fra grunnen av.

Men i tillegg til deres verdifulle hjelp, samler de fleste biblioteker også sensitive data og sender den til sine online-servere - eller til et annet selskap i sin helhet. Vellykkede biblioteksforfattere kan være i stand til å utvikle detaljerte digitale profiler av brukere. For eksempel kan en person gi en app tillatelse til å kjenne plasseringen og en annen app tilgang til sine kontakter. Disse er i utgangspunktet separate tillatelser, en til hver app. Men hvis begge appene brukte det samme tredjepartsbiblioteket og delte ulike deler av informasjonen, kunne bibliotekets utvikler koble sammen stykkene sammen.

Brukere ville aldri vite, fordi apps ikke er pålagt å fortelle brukerne hvilke programvarebiblioteker de bruker. Og bare få få apps offentliggjør deres retningslinjer for brukerens personvern. hvis de gjør det, er det vanligvis i lange juridiske dokumenter en vanlig person vil ikke lese, mye mindre forståelse.

Utvikle lumen

Vår forskning søker å avsløre hvor mye data potensielt blir samlet uten brukernes kunnskap, og å gi brukerne mer kontroll over sine data. For å få et bilde av hva data blir samlet inn og overført fra menneskers smarttelefoner, utviklet vi en gratis Android-app av oss selv, kalt Lumen Privacy Monitor. Den analyserer trafikkappene som sendes ut, for å rapportere hvilke applikasjoner og Internett-tjenester som aktivt høster personopplysninger.

Fordi Lumen handler om åpenhet, kan en telefonbruker se informasjonen installerte appene samler inn i sanntid, og med hvem de deler disse dataene. Vi prøver å vise detaljene i apps skjulte oppførsel på en enkel måte å forstå. Det handler også om forskning, så vi ber brukere om de vil tillate oss å samle inn noen data om hva Lumen observerer at deres apps gjør - men det inkluderer ikke personlige eller personverns sensitive data. Denne unike tilgangen til data tillater oss å studere hvordan mobilappene samler brukernes personlige data og med hvem de deler data på en enestående skala.

Spesielt holder Lumen oversikt over hvilke apper som kjører på brukernes enheter, enten de sender personverns sensitive data ut av telefonen, hvilke nettsteder de sender data til, nettverksprotokollen de bruker og hvilke typer personlig informasjon hver app sender til hvert nettsted. Lumen analyserer apps trafikk lokalt på enheten, og anonymiserer disse dataene før de sendes til oss for å studere: Hvis Google Maps registrerer en brukers GPS-posisjon og sender den spesifikke adressen til maps.google.com, forteller Lumen oss at "Google Maps fikk en GPS-posisjon og sendte den til maps.google.com "- ikke der personen faktisk er.

Trackers er overalt

Mer enn 1,600-personer som har brukt Lumen siden oktober 2015, tillot oss å analysere mer enn 5,000-apper. Vi oppdaget at 598-nettsteder vil være sporing av brukere for reklameformål, inkludert sosiale medier, som Facebook, store internettbedrifter som Google og Yahoo, og online markedsføringsfirmaer under paraplyen av internettleverandører som Verizon Wireless.

Vi fant det mer enn 70 prosent av appene vi studerte koblet til minst en sporing, og 15 prosent av dem er koblet til fem eller flere sporere. En av hver fjerde trackers høstet minst en unik enhetsidentifikator, for eksempel telefonnummeret eller dets Enhetsspesifikk unikt 15-siffer IMEI-nummer. Unikke identifikatorer er avgjørende for online sporingstjenester, fordi de kan koble ulike typer personopplysninger levert av forskjellige programmer til en enkelt person eller enhet. De fleste brukere, selv privatlivssynlige, er uvitende om de skjulte rutene.

Mer enn bare et mobilt problem

Sporing av brukere på deres mobile enheter er bare en del av et større problem. Mer enn halvparten av app-trackers vi identifiserte, sporer også brukere gjennom nettsteder. Takket være denne teknikken, kalt "cross-device" -sporing, kan disse tjenestene bygge en mye mer komplett profil av din online persona.

Og individuelle sporingssteder er ikke nødvendigvis uavhengige av andre. Noen av dem eies av samme bedriftsenhet - og andre kan bli svelget i fremtidige fusjoner. For eksempel eier Alphabet, Googles morselskap, flere av sporingsdomenene vi studerte, inkludert Google Analytics, Doubleclick eller AdMob, og gjennom dem samler data fra mer enn 48 prosent av appene vi studerte.

Brukernes online identiteter er ikke beskyttet av deres hjemlands lover. Vi fant data som ble sendt over landegrensene, og ender ofte i land med tvilsomme personvernlover. Mer enn 60 prosent av tilkoblinger til sporingssteder er laget for servere i USA, Storbritannia, Frankrike, Singapore, Kina og Sør-Korea - seks land som har implementert massovervåkingsteknologi. Statlige organer på disse stedene kan potensielt ha tilgang til disse dataene, selv om brukerne er inne land med sterkere personvernlover som Tyskland, Sveits eller Spania.

Koble en MAC-adresse til en fysisk adresse (tilhørende ICSI) ved hjelp av Wigle.
Koble en MAC-adresse til en fysisk adresse (tilhørende ICSI) ved hjelp av Wigle. ICSI, CC BY-ND

Enda mer forstyrrende har vi observert trackers i apps rettet mot barn. Ved å teste 111-barns apper i laboratoriet, bemerket vi at 11 av dem lekkede en unik identifikator, den MAC-adressen, av Wi-Fi-ruteren den var koblet til. Dette er et problem, fordi det er lett å søk på nettet for fysiske steder assosiert med bestemte MAC-adresser. Innsamling av privat informasjon om barn, inkludert deres plassering, kontoer og andre unike identifikatorer, kan være i strid med Federal Trade Commissions regler som beskytter barns personvern.

Bare en liten titt

Selv om dataene våre inneholder mange av de mest populære Android-appene, er det en liten prøve av brukere og apper, og derfor sannsynligvis et lite sett med alle mulige trackers. Våre funn kan bare skrape overflaten av det som sannsynligvis vil være et mye større problem som spenner over tvers av regulatoriske jurisdiksjoner, enheter og plattformer.

Det er vanskelig å vite hva brukerne kan gjøre med dette. Blokkering av sensitiv informasjon fra å forlate telefonen kan påvirke appytelsen eller brukeropplevelsen: En app kan nekte å fungere hvis den ikke kan laste annonser. Faktisk blokkerer annonser annonserapp utviklere ved å nekte dem en inntektskilde for å støtte sitt arbeid på apper, som vanligvis er gratis for brukere.

Hvis folk var mer villige til å betale utviklere for apper, kan det hjelpe, selv om det ikke er en komplett løsning. Vi fant ut at mens betalte apper pleier å kontakte færre sporingssteder, sporer de fortsatt brukere og kobler seg til tredjeparts sporingstjenester.

Den ConversationÅpenhet, utdanning og sterke reguleringsrammer er nøkkelen. Brukerne må vite hvilken informasjon om dem blir samlet, av hvem og hva den blir brukt til. Først da kan vi som samfunn bestemme hvilke personvernbeskyttelser som passer, og sette dem på plass. Våre funn, og mange andre forskere, kan bidra til å slå bordene og spore sporene selv.

Om forfatterne

Narseo Vallina-Rodriguez, forskningsassistent, IMDEA Networks Institute, Madrid, Spania; Forskningsforsker, Nettverk og sikkerhet, Internasjonalt datateknisk institutt basert på, University of California, Berkeley og Srikanth Sundaresan, forsker i datalogi, Princeton University

Denne artikkelen ble opprinnelig publisert på Den Conversation. Les opprinnelige artikkelen.

Relaterte bøker:

{amazonWS: searchindex = Bøker; søkeord = Internett-personvern; maxresults = 3}

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

følg InnerSelf på

facebook-ikonettwitter-iconrss-ikonet

Få den siste via e-post

{Emailcloak = off}