Багато безкоштовних програм для охорони здоров’я є секретними шпигунами даних
Багато безкоштовних програм для охорони здоров’я є секретними шпигунами даних
6 квітня 2017 р., 19:35 | t-online.de, hd
Як показує цей огляд, допитливість до програм охорони здоров’я велика. (Джерело: AV-Test, TU Brandenburg)
Вони працюють з більш чутливими даними користувачів, ніж будь-яка інша програма. Проте програми охорони здоров'я часто нехтують захистом даних. І вони наживляють за допомогою безкоштовних програм таємно Збирайте та продавайте дані користувачів. Це виявило дослідження Інституту AV-TES T, яке t-online.de отримало заздалегідь.
Програми для охорони здоров’я дуже популярні. Але багато з них є секретними збирачами даних. (Джерело: imago images)
Вони підраховують пробіг кілометрів, споживаних калорій і плідних днів. Вони фіксують високий кров’яний тиск, депресію та гіпотрофію. Вони надсилають екстрені дзвінки, дають поради щодо здоров’я, допомагають знайти лікаря та ліки і навіть нагадують вчасно приймати ліки. Додатки для здоров’я для смартфонів Android обіцяють підтримку хворих та людей, які хочуть жити здоровіше. Насправді понад 100 000 таких додатків допомагають мільйонам людей більше займатися фізичними вправами, харчуватися краще, фіксувати та інтерпретувати значення та сигнали тіла та оптимізувати власну поведінку. Це призводить до величезного і зростаючого ринку для розробників додатків, спортивної, медичної та приладобудівної промисловості, а також для рекламодавців, медичних страховиків та інших компаній, які ведуть бізнес з даними користувачів.
Суперечливі дані користувача - записати їх самостійно
Такі програми збирають відповідні дані про своїх користувачів за допомогою безлічі датчиків, вбудованих у смартфони. Те саме стосується швидко зростаючої кількості периферійних пристроїв, таких як ваги, фітнес-трекери та інші вимірювальні прилади. І останнє, але не менш важливе: користувачі добровільно вводять дані, запитувані програмами; завжди припускаючи, що постачальники програм будуть обробляти запитувані дані конфіденційно та захищати їх відповідно. На відміну від інших програм, програми, доступні в Google Play Store у категоріях „Здоров’я та фітнес”, „Медицина” та „Спосіб життя”, збирають та використовують багато особистої інформації, включаючи дані про здоров’я.
60 програм перевірено на захист даних
60 програм, перевірених експертами з захисту даних Інституту AV-TEST, демонструють широкий переріз програм електронної охорони здоров’я, що пропонуються безкоштовно в магазині Google Play. Серед них були програми Android для діагностики можливих захворювань, пошукові програми для медичної інформації, аптеки та лікарі, фітнес-трекери та програми для моніторингу медичних показників, таких як лічильники калорій, щоденники діабету та планувальники народжуваності, програми для контролю сну та щоденники дитини.
Високі правові перешкоди
Відповідно до європейської директиви про захист даних, німецького Федерального закону про захист даних та інших законів, особисті дані підлягають спеціальному захисту. Наприклад, для їх збору, обробки та використання потрібна згода відповідної особи. Крім того, інформація про збір, обробку та використання даних повинна бути "всебічною та прозорою", а обробка та використання даних за кордоном повинна бути оголошена. Що стосується даних про стан здоров'я, ці законодавчі вимоги є набагато більш обмежувальними.
Проблеми користувачів
Ці законодавчі вимоги повинні відповідати стурбованості користувачів таких додатків: згідно з поточним дослідженням Інституту Алленсбаха, користувачі не бажають ділитися даними свого фітнес-трекера з компаніями, такими як їхні страхові компанії. Навіть якби передача даних про фізичну форму призвела до часткового відшкодування внесків на медичне страхування, більше половини всіх респондентів були б проти.
Безкоштовні помічники як принада для даних
Однак законодавчі вимоги та занепокоєння користувачів протиставляються тому, скільки постачальників програм eHealth мають справу з даними користувачів на практиці: Замість того, щоб пропонувати ефективний захист даних, вони заманюють користувачів безкоштовними програмами для доступу до своїх даних про здоров'я. Експерти Інституту AV-TEST перевірили обсяг та якість даних, записаних програмами. Вони також порівнюють їх із ціллю використання та відповідно зважують отримання даних. Співробітники захисту даних перевірили, наскільки і наскільки постачальники програм виконують законодавчі вимоги щодо інформаційного обов'язку щодо збору та використання даних. Вони також перевірили трафік додатків. Роблячи це, вони вивчили інструменти, які використовували програми для збору даних, та канали, за якими ці дані протікали.
Понад 80 відсотків без відповідної політики конфіденційності
Навіть маючи законодавчо необхідну інформацію користувача про збір та використання даних, постачальники програм для охорони здоров’я зазнають збою: із 60 перевірених програм для Android лише 32 запропонували пряме посилання з Google Play Store на декларацію про захист даних. Однак за посиланням можна було дістатись лише до 22, десять користувачів нікуди не потрапили або на осиротілі веб-сайти. Лише 19 із 60 програм пропонували декларацію про захист даних, яка безпосередньо стосувалась розглянутої програми. У 53 із 60 додатків існуючі декларації про захист даних були з 2014 року або старші - або не було інформації про дійсність декларації.
У поєднанні з розумними годинниками програми збирають багато даних від своїх користувачів. (Джерело: Imago)
Google вживає заходів проти скарг
Ці скарги, очевидно, зараз є колючкою Google, оскільки оператор найбільшого у світі магазину додатків оголосив про радикальні заходи для розробників додатків: На початку лютого 2017 року Google повідомив постачальників програм електронною поштою, якщо їх додатки не відповідають правилам Play Store для обробки даних користувача. Американська група встановила кінцевий термін до 15 березня 2017 року для виправлення будь-яких скарг. В іншому випадку існує ризик радикальних заходів, зокрема викидання з магазину Google Play. За оцінками медіа-порталу “The Next Web”, це може вплинути на мільйони додатків у майбутньому. У 2014 році дослідження GPEN підтвердило, що у 85 відсотків програм недостатньо декларацій про захист даних.
Лише вісім програм не потребують доступу
Незалежно від того, чи доступна декларація про захист даних, багато програм eHealth, перевірені AV-TEST, були надзвичайно доступними, коли мова йшла про інформацію від їхніх користувачів. Дозволи на доступ, які надавали собі програми під час практичного тестування на мобільних пристроях, були відповідно великими. Окрім доступу до даних користувачів та пристроїв, багатьом програмам також потрібен доступ до фотографій та інших даних, що зберігаються на мобільних пристроях. Також дуже популярні: геопросторові дані, а також ідентифікатор пристрою та інформація про дзвінки. Дванадцять додатків вимагали прямого доступу до камери, 7 хотіли вільно користуватися мікрофоном, а три навіть цілі телефонні функції смартфонів. Лише вісім програм у тесті не вимагали дозволів на доступ.
77 із 187 звернень були критичними
Тестери перевірили необхідність прав доступу, необхідних програмам, враховуючи функціональність програми. Якщо права доступу для основних функцій не потрібні або необхідність не очевидна, вони оцінюють такий доступ як "критичний". Із 186 запитів на доступ, сформованих у тесті, експерти оцінили 77 запитів як непотрібні для використання програми і тому "критичні". Наприклад, програма для запису жіночого циклу хотіла отримати інформацію про місцеперебування своїх користувачів. Ще один додаток пропонував поширювати відповідну інформацію через соціальні мережі. AV-Test незабаром опублікує результати перевірених програм.
Небезпечна передача даних у Facebook
Тестери також вивчили трафік даних програм eHealth. Виявилося, що провайдери в додатках вже масово працюють із засобами збору даних та інструментами відстеження від сторонніх провайдерів з рекламної індустрії, включаючи Google і Flurry Analytics, Baidu та автоматизовану передачу даних у Facebook.
Фітнес-дані цікаві для спортсменів. Для багатьох компаній теж. (Джерело: imago images)
Рекламні мережі залишаються анонімними та не виявленими
Також було помітно, що постачальники програм, якщо вони навіть інформують користувачів про передачу даних третім особам за допомогою політики конфіденційності, у кращому випадку називають "Google Analytics". Усі інші рекламні мережі залишились без назви і лише в лабораторії розкрились завдяки аналізу трафіку даних додатків за допомогою спеціального криміналістичного програмного забезпечення. Для недосвідчених користувачів автоматична передача їх даних третім особам з рекламною метою не є очевидною, і вона не може бути обмежена якимось чином.
Незашифрована передача даних
В рамках цих тестів було також показано, що між програмами та серверами провайдерів обмінювалися різними даними, а також підключеними рекламними мережами. Інформація, яку зловмисники можуть легко перехопити, включала конфіденційні дані користувачів, такі як реєстрація автентифікації, тобто також імена користувачів та пов'язані з ними паролі. На додаток до того, що деякі програми передають конфіденційні дані від своїх користувачів третім сторонам без їх відома, існує також той факт, що адекватні захисні заходи, такі як зашифрований трафік даних, відмовляються від.
Захист даних є основним правом
Незважаючи на те, що додатки для охорони здоров’я роками користуються все більше і більше на пристроях користувачів у Німеччині та Європі, досі немає офіційних засобів контролю якості або печаток схвалення для оцінки надійності та якості захисту таких програм. Попит на більший захист даних від приватних постачальників, таких як Google, радує, але не дуже надійний. Врешті-решт, сама компанія є одним з найбільших збирачів даних у світі.
Споживачі можуть це зробити
До належного впровадження правових норм користувачі медичних програм залишаються на власних пристроях для захисту своїх даних. Як показує поточне дослідження, слід уважно перевірити, які програми ви дозволяєте на своєму смартфоні чи планшеті. Перш ніж встановлювати, важливо, наскільки це можливо, перевірити права доступу програми в App Store, щоб тримати шпигунів даних подалі від власних мобільних пристроїв.