Appudviklere kan opsnappe oplysninger om vores online dating eller netbankbrug

In-app annoncer vises ukrypteret på apps grafiske brugergrænseflade. Det betyder samtidig, at mobilapp-udviklere kan få adgang til bl.a. følsomme data fra målrettet annonceindhold

Dybt personlige oplysninger fra online dating eller netbankbrug kan komme i hænderne på mobilapp udviklere på baggrund af en læk i datastrømmen bag de personaliserede annoncer, som vi kender fra Google.

Det viser en ny undersøgelse fra School of Computer Science ved Georgia Institute of Technology, som er beskrevet på phys.org.

Studiet omfatter mere end 200 deltagere, der anvender apps med reklameindhold på en Android smartphone. Android udgør godt halvdelen af alle amerikanske smartphones ifølge en rapport fra analysvirksomheden comScore. Det er lidt mere end herhjemme, hvor Androids markedsandel udgør 46 procent.

Forskere har dels undersøgt, hvor præcise og målrettede personaliserede annoncer egentlig er. Det er de annoncer, som popper op på vores enheder fra Google, og som baserer sig på tidligere søgning efter f.eks. varer og ydelser og som derfor afspejler brugerens personlige interesser og demografiske profil.

Desuden har de undersøgt, hvilke data mobilapp udviklere kan trække ud om brugerne på baggrund af de personaliserede annoncer, som sendes til apps på vores mobile enheder.

Forskerne fandt, at 73 procent af annoncevisningerne for 92 procent af brugerne matcher deres demografiske profil korrekt. Mere skræmmende er det, at forskerne også fandt ud af at en mobilapp-udvikler kan skaffe følgende oplysninger om en brugers profil, baseret på de viste annoncer:

  • brugens køn kan sandsynliggøres med 75 procent nøjagtighed,
  • brugerens forældrestatus kan sandsynliggøres med 66 procent nøjagtighed,
  • aldersgruppen med 54 procent nøjagtighed
  • endelig kan man også få tilegne sig oplysninger om brugerens indkomst, politiske ståsted, civilstand med højere nøjagtighed end tilfældige gæt.

Ondsindede apps indsamler alt

En del personlige oplysninger fra vores net- og appbrug - f.eks. når vi online dater eller går på netbank - anses for så følsomme, at Google udtrykkeligt lover, at de ikke anvendes til personalisering, men forskningen har dog afsløret, at appudviklere alligevel kan opsnappe sådanne oplysninger på grund af en læk i annoncenetværkene.

»Der er intet gratis ved gratis smartphone apps,« siger Wei Meng, ledende forsker og ph.d.-studerende i datalogi, til phys.org.

»Apps - især ondsindede apps - kan bruges til at indsamle potentielt følsomme oplysninger om brugeren blot ved at åbne for personlig annoncering i appen og registrere, hvad der sendes til brugeren. Personlige annoncer i vores mobil device apps er absolut en ny trussel mod vores privatliv.«

Sådan virker det:

  • Første trin er at udviklerne overhovedet accepterer annoncer i deres mobilapp.

  • Annoncenetværk betaler herefter appudvikleren for at vise annoncer og overvåge brugeraktivitet, dvs. indsamle data om appforbrug, hvilken enhed man har, lokalitet etc.

  • Disse aggregerede oplysninger stilles til rådighed for annoncører, som anvender dem til at styre den personlige annoncering.

  • Annoncører får altså et annoncenetværk til at målrette annonceringen efter interesser, emner, tidligere surf eller appforbrug, demografi og anslået alder.

  • In-app annoncer vises ukrypteret på appens grafiske brugergrænseflade. Det betyder samtidig, at mobilapp udviklere kan få adgang til data fra dette målrettede annonceindhold og med reverse engineering kan man konstruere en profil af appbrugeren.

I modsætning til annoncering på en webside, hvor indholdet af personlig annoncering ikke kan ses af webejeren eller andre, er der ingen beskyttelse mod, at data fra personaliseret annoncering på apps kommer i hænderne på en mobileapp-udvikler.

Data om dating ryger i hænderne på udviklere

»Folk bruger dagligt deres smartphones til online dating, netbank og sociale medier,« siger Wenke Lee, professor i datalogi og meddirektør for Institut for Information Sikkerhed & privatliv på Georgia Tech.

»Derfor er beskyttelse af de personlige oplysninger mod ondsindede parter er vigtigere end nogensinde.«

Undersøgelsen medgiver, at reklameindustrien har taget skridt til at beskytte brugeroplysninger fra appforbrug med en forbedret HTTPS-protokol, men forskere mener, at der alligevel er en trussel mod brugernes privatliv.

Google har ikke kommenteret resultatet.

Resultaterne vil blive præsenteret tirsdag 23. februar i 2016 Network and Distributed System Security Symposium (NDSS '16) i San Diego, Californien, af forskere Wei Meng, Ren Ding, Simon Chung og Steven Han. Studiet er ledet af professor Wenke Lee.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (2)

Henrik Hansen

»Der er intet gratis ved gratis smartphone apps,« siger Wei Meng, ledende forsker og ph.d.-studerende i datalogi, til phys.org.

Er det ikke en anelse oversimplificeret og generaliserende? Selvom det måske nok er korrekt for en mængde af smartphone apps, tænker jeg umiddelbart at der også er gratis apps, der er udviklet på baggrund af nysgerrighed, konkrete behov og almindelig entusiasme, ud fra nogle af de samme mekanismer som man ser med Open Source applikationer. Det svarer vel lidt til at sige at »der er intet gratis ved OpenBSD«...

Brian Hansen

Der findes også et hav af uofficielle apps, f.eks. RDP klienter andre end Microsofts egen.
Man har her heller ingen garanti for at de logins man bruger ikke bliver snuppet og videresendt, det tror jeg ikke mange tænker over :)

Log ind eller opret en konto for at skrive kommentarer