Sok ingyenes egészségügyi alkalmazás titkos adatkém

Sok ingyenes egészségügyi alkalmazás titkos adatkém

egészségügyi alkalmazások

2017. április 6., 19:35 | t-online.de, hd

Az egészségügyi alkalmazások kíváncsisága nagy, amint ez az áttekintés is mutatja. (Forrás: AV-Test, TU Brandenburg)

Érzékenyebb felhasználói adatokkal dolgoznak, mint bármely más program. Ennek ellenére az egészségügyi alkalmazások gyakran elhanyagolják az adatvédelmet. És ingyenes programokkal csalogatják titkosan Felhasználói adatok gyűjtése és értékesítése. Ezt az AV-TES T Intézet tanulmánya tárta fel, amelyet a t-online.de előzetesen megkapott.

Az egészségügyi alkalmazások nagyon népszerűek. De sok titkos adatgyűjtő. (Forrás: imago images)

Számítják a megtett kilométereket, az elfogyasztott kalóriákat és a termékeny napokat. Magas vérnyomást, depressziót és alultápláltságot regisztrálnak. Segélyhívásokat küldenek, egészségügyi tippeket adnak, segítenek orvosok és gyógyszerek megtalálásában, sőt arra is emlékeztetik, hogy időben vegye be a gyógyszert. Az Android okostelefonok egészségügyi alkalmazásai támogatást ígérnek a betegeknek és azoknak az embereknek, akik egészségesen szeretnének élni. Valójában több mint 100 000 ilyen alkalmazás segít emberek millióinak abban, hogy többet mozogjanak, jobban étkezzenek, rögzítsék és értelmezzék a testértékeket és a jeleket, valamint optimalizálják saját viselkedésüket. Ez hatalmas és növekvő piacot eredményez az alkalmazásfejlesztők, a sport-, az orvosi és az eszközipar számára, de a hirdetők, az egészségbiztosító társaságok és más, a felhasználói adatokkal üzletelő vállalatok számára is.

Ellentmondásos felhasználói adatok - rögzítette magát

Az ilyen alkalmazások az okostelefonokba épített érzékelők sokaságán keresztül gyűjtenek releváns adatokat a felhasználókról. Ugyanez vonatkozik a perifériák gyorsan növekvő számára, például mérlegekre, fitneszkövetőkre és más mérőeszközökre. Végül, de nem utolsósorban a felhasználók önként adják meg az alkalmazások által kért adatokat; mindig azzal a feltevéssel, hogy az alkalmazásszolgáltatók bizalmasan kezelik a kért adatokat, és ennek megfelelően védik azokat. Más alkalmazásokkal ellentétben a Google Play Áruházában elérhető alkalmazások: „Egészség és fitnesz”, „Gyógyszer” és „Életmód” rengeteg személyes információt gyűjtenek és használnak fel, beleértve az egészségügyi adatokat is.

60 alkalmazást ellenőriztek adatvédelem szempontjából

Az AV-TEST Intézet adatvédelmi szakértői által ellenőrzött 60 alkalmazás széles keresztmetszetet mutat be a Google Play Áruházban ingyenesen kínált e-egészségügyi alkalmazásokról. Köztük voltak Android-programok a lehetséges betegségek diagnosztizálására, orvosi információk keresése, gyógyszertárak és orvosok, fitneszkövetők és orvosi értékek monitorozására szolgáló alkalmazások, például kalóriaszámlálók, cukorbetegség-naplók és termékenység-tervezők, alvásfigyelő alkalmazások és babanaplók.

Magas jogi akadályok

Az európai adatvédelmi irányelv, a német szövetségi adatvédelmi törvény és más törvények szerint a személyes adatok különleges védelem alatt állnak. Például gyűjtésükhöz, feldolgozásukhoz és felhasználásukhoz az érintett személy beleegyezése szükséges. Ezenkívül az adatok gyűjtésére, feldolgozására és felhasználására vonatkozó információkat „átfogóan és átláthatóan” kell megadni, és be kell jelenteni az adatfeldolgozást és a külföldön történő felhasználást. Az egészségügyi adatok esetében ezek a jogi követelmények sokkal szigorúbbak.

A felhasználók aggályai

Ezek a jogi követelmények valószínűleg megfelelnek az ilyen alkalmazások felhasználói aggályainak: Az Allensbach Intézet jelenlegi tanulmánya szerint a felhasználók nem hajlandók megosztani fitneszkövetőjük adatait olyan vállalatokkal, mint például egészségbiztosítóikkal. Még akkor is, ha a fitnesz adatok továbbadása az egészségbiztosítási járulékok részleges megtérítését eredményezné, a válaszadók több mint fele ellene lenne.

Ingyenes segítők adatcsaliként

A felhasználók jogi követelményei és aggályai azonban ellentétben állnak azzal, hogy az e-egészségügyi alkalmazások hány szolgáltatója foglalkozik a felhasználói adatokkal a gyakorlatban: A hatékony adatvédelem helyett ingyenes alkalmazásokkal csábítják a felhasználókat az egészségügyi adatok elérése érdekében. Az AV-TEST Intézet szakemberei ellenőrizték az alkalmazások által rögzített adatok körét és minőségét. Ezeket a felhasználási célhoz is viszonyítják, és ennek megfelelően súlyozzák az adatgyűjtést. Az adatvédelmi tisztviselők megvizsgálták, hogy az alkalmazás-szolgáltatók megfelelnek-e az adatgyűjtés és -felhasználás tájékoztatási kötelezettségének törvényi követelményeinek, és mennyire. Ellenőrizték az alkalmazások forgalmát is. Megvizsgálták, hogy az alkalmazások mely eszközöket használták adatgyűjtéshez és mely csatornákon áramoltak ezek az adatok.

Több mint 80 százalék megfelelő adatvédelmi irányelvek nélkül

A felhasználó törvényesen előírt adatainak összegyűjtésével és felhasználásával kapcsolatban az egészségügyi alkalmazások szolgáltatói kudarcot vallanak: 60 ellenőrzött Android-alkalmazás közül csak 32 ajánlott fel közvetlen kapcsolatot a Google Play Áruházából egy adatvédelmi nyilatkozathoz. A linken keresztül azonban csak 22-et lehetett elérni, tíz felhasználó nem vezetett sehova vagy árva weboldalakra. A 60 alkalmazásból csak 19 nyújtott be olyan adatvédelmi nyilatkozatot, amely közvetlenül kapcsolódott a vizsgált alkalmazáshoz. A 60 alkalmazásból 53-ban a meglévő adatvédelmi nyilatkozatok 2014-es vagy annál régebbi voltak - vagy nem voltak információk a nyilatkozat érvényességéről.

Az intelligens órákkal együtt az alkalmazások rengeteg adatot gyűjtenek a felhasználóiktól. (Forrás: Imago)

A Google intézkedik a sérelmek ellen

Ezek a sérelmek nyilvánvalóan most tövisként jelentik meg a Google oldalát, mert a világ legnagyobb alkalmazásboltjának üzemeltetője drasztikus intézkedéseket jelentett be az alkalmazásfejlesztők számára: 2017. február elején a Google e-mailben tájékoztatta az alkalmazásszolgáltatókat, ha alkalmazásaik nem felelnek meg a Play Store szabályainak felhasználói adatok kezelésére. Az amerikai csoport 2017. március 15-ig határidőt tűzött ki a sérelmek orvoslására. Ellenkező esetben drasztikus intézkedések kockázata áll fenn, beleértve a Google Play Áruházból való kilökést is. A „The Next Web” médiaportál becslései szerint ez a jövőben több millió alkalmazást érinthet. 2014-ben egy GPEN-tanulmány megerősítette, hogy az alkalmazások 85 százaléka nem rendelkezik elegendő adatvédelmi nyilatkozattal.

Csak nyolc alkalmazáshoz nincs szükség semmilyen hozzáférésre

Függetlenül attól, hogy rendelkezésre áll-e adatvédelmi nyilatkozat vagy sem, az AV-TEST által ellenőrzött e-egészségügyi alkalmazások közül sok rendkívül hozzáférhető volt, amikor a felhasználóktól származó információkról volt szó. A hozzáférési engedélyek, amelyeket az alkalmazások a mobileszközök gyakorlati tesztje során adtak maguknak, ennek megfelelően kiterjedtek voltak. A felhasználói és eszközadatokhoz való hozzáférés mellett számos alkalmazáshoz hozzáférés szükséges a mobileszközökön tárolt fotókhoz és egyéb adatokhoz is. Szintén nagyon népszerű: térinformatikai adatok, valamint eszközazonosító és hívási információk. Tizenkét alkalmazáshoz volt szükség közvetlen hozzáférésre a kamerához, 7-en szabadon akarták használni a mikrofont, három pedig még az okostelefon teljes telefonos funkcióit is. A tesztben csak nyolc alkalmazásnak nem volt szüksége hozzáférési engedélyre.

A 187 hozzáférésből 77 kritikus volt

A tesztelők az alkalmazások funkcionalitásának figyelembevételével ellenőrizték az alkalmazások által megkövetelt hozzáférési jogok szükségességét. Ha az alapvető funkciókhoz való hozzáférési jogokra nem volt szükség, vagy szükség nem volt nyilvánvaló, akkor az ilyen hozzáférést "kritikusnak" minősítették. A teszt során generált 186 hozzáférési kérelem közül a szakértők 77 kérést feleslegesnek minősítettek az alkalmazás használatához, ezért "kritikusak". Például a női ciklus rögzítésére szolgáló alkalmazás tájékoztatást akart szerezni a felhasználók tartózkodási helyéről. Egy másik alkalmazás felajánlotta a releváns információk terjesztését a közösségi hálózatokon keresztül. Az AV-Test hamarosan közzéteszi a tesztelt alkalmazások eredményeit.

Nem biztonságos adatátvitel a Facebookra

A tesztelők megvizsgálták az e-egészségügyi alkalmazások adatforgalmát is. Kiderült, hogy az alkalmazások szolgáltatói már tömegesen dolgoznak a reklámipar harmadik fél szolgáltatóinak adatgyűjtési eszközeivel és nyomkövető eszközeivel, beleértve a Google-t és a Flurry Analytics-t, a Baidu-t, valamint az automatikus adatátvitelt a Facebook-ra.

A fitnesz adatok izgalmasak a sportolók számára. Sok vállalatnak is. (Forrás: imago images)

A hirdetési hálózatok névtelenek és észrevétlenek maradnak

Az is észrevehető volt, hogy az alkalmazásszolgáltatók, ha a legjobb esetben is a „Google Analytics” elnevezésű adatvédelmi irányelvek révén tájékoztatják a felhasználókat a harmadik felek felé történő adatátvitelről. Az összes többi hirdetési hálózat név nélkül maradt, és csak a laboratóriumban mutatkozott be az alkalmazások speciális kriminalisztikai szoftverekkel végzett adatforgalmának elemzésén keresztül. A tapasztalatlan felhasználók számára nem nyilvánvaló, és semmilyen módon sem korlátozható adataik automatikus reklámcélú továbbítása harmadik feleknek.

Titkosítatlan adatátvitel

E tesztek részeként azt is kimutatták, hogy mindenféle adatot cseréltek az alkalmazások és a szolgáltatók szerverei, valamint a kapcsolódó hirdetési hálózatok között. A támadók által könnyen lehallgatható információk olyan érzékeny felhasználói adatokat tartalmaznak, mint például a hitelesítések naplózása, azaz a felhasználói nevek és a hozzájuk tartozó jelszavak. Amellett, hogy egyes alkalmazások ismerete nélkül továbbítják a felhasználóiktól az érzékeny adatokat harmadik feleknek, az a tény is fennáll, hogy a megfelelő védintézkedéseket, például a titkosított adatforgalmat el kell tekinteni.

Az adatvédelem alapvető jog

Noha az egészségügyi alkalmazásokat évek óta egyre többet használják a felhasználók készülékein Németországban és Európában, még mindig nincs hivatalos minőség-ellenőrzés vagy jóváhagyási pecsét az ilyen alkalmazások megbízhatóságának és adatvédelmi minőségének értékelésére. Örvendetes, de nem túl hiteles a magánszolgáltatók, mint például a Google, nagyobb adatvédelem iránti igény. Végül is a vállalat maga az egyik legnagyobb adatgyűjtő a világon.

A fogyasztók megtehetik

A törvényi előírások megfelelő végrehajtásáig az egészségügyi alkalmazások felhasználói saját magukra maradnak, hogy megvédjék adataikat. Amint a jelenlegi tanulmány mutatja, gondosan ellenőriznie kell, hogy mely alkalmazásokat engedélyezi okostelefonján vagy táblagépén. A telepítés előtt fontos, amennyire csak lehetséges, ellenőrizni az alkalmazás hozzáférési jogait az App Store-ban, hogy az adatok kémjeit távol tartsuk a saját mobil eszközeitől.