Den er god nok: Apps napper dine persondata

Ny forskning viser, at mobil-apps i høj grad opsnapper brugernes data og sender dem videre til tredjeparter.

Du havde det måske nok på fornemmelsen, men nu bekræfter ny forskning også, at apps fra både Google Play og Apples App Store hyppigt sender brugernes personlige data til tredjeparter. Og i den forbindelse får brugeren ofte ingen eller blot en sparsom besked. Det fortæller Ars Technica på baggrund af ny forskning.

Forskerne, som blandt andet kommer fra Harvard University, MIT og Carnegie Mellon University, har begået rapporten 'Who Knows What About Me? A Survey of Behind the Scenes Personal Data Sharing to Third Parties by Mobile Apps'.

De har kigget på i alt 110 af de mest populære apps, 55 fra Play og 55 fra App Store. Forskerne har fundet frem til, at en betragtelig procentdel af appsene sender data som mailadressen, brugerens fysiske position og brugerens navn til Google, Apple og andre tredjeparter.

I gennemsnit sendte de testede Android-apps potentielt følsomme data til 3,1 tredjepartsdomæner, mens de målte iOS-apps i gennemsnit sendte til 2,6 tredjepartsdomæner.

Den oftest delte personlige information på Android er ifølge rapporten mail, mens det på iOS er lokationsdata, de testede apps oftest har delt.

73 pct. af de testede Android-apps delte personlige informationer som mailadresser med tredjeparter, mens 47 pct. af apps på iOS delte brugerens geo-koordinater og andre lokationsdata.

Mystisk domæne

Hele 93 pct. af de testede apps på Android koblede op til det, forskerne kalder for 'det mystiske domæne' safemovedm.com.

»Formålet med denne domæneforbindelse er uklar i øjeblikket; men den store udbredelse er ejendommelig. Når vi brugte telefonen uden at køre nogen app, så fortsatte forbindelserne til domænet. Det kan være en forbindelse i baggrunden, der bliver foretaget af Android-styresystemet. Og for ikke fejlagtigt at tilskrive denne forbindelse til de apps, vi testede, udelukkede vi det (domænet, red.) derfor fra tabeller og figurer,« skriver forskerne blandt andet i rapporten i relation til safemovedm.com.

Det er ikke umiddelbart lykkedes Ars Technica at få en meningsfuld kommentar fra Google i forhold til domænet.

»En Google-talsperson, som blev kontaktet i forbindelse med dette indlæg, gav ikke nogen informationer om safemovedm.com eller fortalte, hvorfor Android-styresystemet skulle forbinde til det. Web-søgninger giver en vifte af teorier om formålet med Android-forbindelserne til domænet,« skriver Dan Goodin ved Ars Technica.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Bjarne Nielsen

Skræmmende. Hvis den slags efterretningsvirksomhed havde være statssponseret, så havde vi alle været behørigt forargede. Men måske gælder der andre regler for private virksomheder?

Jeg er lidt forundret over, at der endnu ikke er nogen, som har påpeget, at hvis man ikke betaler, så er man ikke kunden, men istedet produktet. Det er efter min mening for let-købt.

For det første, så er der mange situationer slet ikke tale om informeret samtykke. I nogle situationer er adfærden direkte bedragerisk og i mange situationer er samtykket ikke informeret: vi er blevet besnakket og bondefanget. Og hånden på hjertet: kan det være meningen at vores udgangspunkt skal være en tilnærmelsesvis paranoid mistro? Vil vi virkelig en virkelighed, hvor den frække må snyde den godtroende og skyde skylden på ham bagefter, ved at sige, at han burde have vidst bedre?

For det andet, så sker det her også selvom vi har betalt. Både i situationer, hvor penge er gået over disken og i situationer, hvor produktet kun opstår i kraft af vores medvirken (user-generated content). Alligevel ser man sig i sin gode ret til at holde den reelle pris skjult og kort sagt tage mere end aftalt. Og sørme også bagefter have den frækhed at mene, at det både er helt i orden, og at vi burde kunne have indset, at vi selv havde bedt om det.

For det tredje, så smager det er grundløs defaitisme. Selv når vi er produktet, så har vi stadig stor magt. Mister vi tilliden, og går vores vej, så er der intet produkt længere. Og der er ikke noget mere værdiløst end en butik uden varer. Google og Apple og alle de andre skal virkelig til at passe på.

PS: Og nej, jeg kan ikke afvise en form for statslig indblanding (måske ved bevist at sætte kikkerten for det blinde øje, fordi man kan lytte med - og måske endda som "kunde"). Men jeg kan ikke se, at der skulle være noget som tilsiger, at det skulle være en betydende faktor.

  • 8
  • 0
#2 Peter Christiansen

Hvis den slags efterretningsvirksomhed havde være statssponseret

Det er den min gode mand, google er købt og betalt af In-Q-Tel som er en CIA operation der investerer i teknologi som de så selv skal have glæde af. Det var en del af aftalen da de i sin tid investerede i google, før de rigtig blev til noget.

Det er alment kendt, selv wikipedia nævner det, hvis du søger på in-q-tel.

Så selv om google er et privat ejet selskab, har de aftaler med CIA om at levere data og teknologi når der bliver spurgt efter det. Google maps blev i sin tid også sponsoreret af CIA af samme grund, det hed ikke google maps den gang, men blev senere købt af google.

  • 3
  • 0
#3 Peter Christiansen

For det tredje, så smager det er grundløs defaitisme. Selv når vi er produktet, så har vi stadig stor magt. Mister vi tilliden, og går vores vej, så er der intet produkt længere

Mennesket er utroligt konservativt og lige meget hvad du fortæller dem, bliver de ved med at finde undskyldinger for at bruge produkterne.

  • Facebook lave analyse på dine billeder over hvad du laver Folk er ligeglade

  • Google er sponsoreret af CIA til at indhente information om alt og alle. Folk er ligeglade

  • NSA spionerer på den tyske kansler Folk er ligeglade

  • Snapchat får flere hundrede tusind dick-pics kompromiteret Folk er ligeglade

Og jeg kunne blive ved. Fat det dog, I er produktet og det bliver i ved med, indtil i vågner op og holder op med at komme med de dårligste undskyldninger for at blive , undskyld sproget "taget hårdt i numsen, mens i siger tak og beder om mere".

  • 4
  • 0
#4 Nicolai Larsen
  • 0
  • 3
#5 Nicolai Larsen

Vil vi virkelig en virkelighed, hvor den frække må snyde den godtroende og skyde skylden på ham bagefter, ved at sige, at han burde have vidst bedre?

Sådan har det da altid været? Bilka har da aldrig været tabt bag en vogn på det punkt, for eks., og har da alle dage levet efter mottoet "går den så går den". Sådan har det altid været, intet nyt i det.

  • 0
  • 2
#6 Kjeld Flarup Christensen

host safemovedm.com safemovedm.com mail is handled by 15 alt2.aspmx.l.google.com. safemovedm.com mail is handled by 5 aspmx.l.google.com. safemovedm.com mail is handled by 10 alt1.aspmx.l.google.com.

Ingen IP, kun e-mail records. Hvordan kan de så koble sig op, sender de email?

Dog fandt jeg denne site, et ikke helt dårligt site at gemme sig bag. Hotspot Login Assistant hla2.safemovedm.com/homepage.html

Den er hosted ved cloudfront.net som er registreret af dem her: https://www.markmonitor.com/

Denne kommentar på Ars Technica artikel giver lidt anledning til eftertanke:

If this ever became a thing, apps would just collect the data and route everything through their own domain name before sending it off to third party servers. If it's encrypted it would be even harder to tell what they are sending.

But I wonder if maybe some app developers don't even know what is being sent to third party servers. If you blindly use a thir party library, especially one provided as just a binary blob with no source code, it's going to be hard to tell what kind of nefarious things that library does.

Der var nok intet, som var lettere end at lukke for safemovedm.com, men det hjælper intet. Kommentaren viser blot at brugerne er ligeglade, så spionerne behøver end ikke gemme sig. En basal kryptering ville gøre det umuligt at detektere at email adresser deles. Og hvis så data gik igennem app udbyder selv, så var der næppe kommet nogen artikel.

Også lidt interessant med library teorien. Dog plejer den slags at blive opdaget i opensource.

  • 1
  • 0
Log ind eller Opret konto for at kommentere