Facebook sluger data fra folk, der ikke engang har en konto

Illustration: Dessin de Tjeerd Royaards, Cartoon Movement, Pays-Bas
Præinstallerede Facebook-apps sladrer om ikke-brugere

En vågen læser af The Register fortæller, hvordan vedkommendes telefon sendte diverse data til Facebooks servere, selvom han ikke engang er logget ind på Facebook eller har en konto der.

Det skyldes, at hans LG Sprint-telefon kommer med en præinstalleret version af Facebook, som ikke kan fjernes uden at roote telefonen. Det ødelægger garantien og er næppe velset på, eksempelvis, en arbejdstelefon.

Denne præinstallerede Facebook-app sender data fra telefonen, selvom der ikke er logget nogen ind på appen.

Læs også: It-systemet hos Danmarks største sikkerhedsvirksomhed er nede

Præcis hvilke data telefonen sender videre er usikkert, men det er ifølge den anonyme læser umuligt at slå datadelingen fra, trods flere forsøg.

»Selv hvis jeg afinstallerer opdateringer og slår deres adgang til at bruge data på mobilen fra, har de inden for få minutter slået deres internetadgang til igen og installeret alle de opdateringer, jeg fjernede.«

Læs også: The rise and fall of Facebook – kan GDPR gøre kål på dette monster?

Facebooks egne instruktioner til, hvordan man slår deres apps fra på Android-enheder nævner en knap, der for Register-læseren var grå og umulig at klikke på. muligheden var simpelthen blevet fjernet.

Illustration: Screen Dump, The Register

»Jeg har aldrig haft en Facebook-account, men applikationens opførsel og dens vedholdenhed i forhold til at bruge baggrundsdata siger, mig, at Facebook indsamler data om mig ikke desto mindre.«

Facebook: Det er meningen

Fra Facebook selv er der ingen snakken udenom.

Læs også: Nordkoreanske hackere har brugt Google Play i målrettet aktion mod afhoppere

»Vi er indgået partnerskaber med mobilproducenter og mobiloperatører i forhold til at præinstallere Facebook-apps på androidenheder for at sikre, at vores brugere får den bedste oplevelse med Facebook lige fra de køber telefonen og i løbet af telefonens levetid,« skriver en talsmand for Facebook til The Register og fortsætter;

»Ved at have præinstallerede apps sikrer vi, at vores brugere har den seneste Facebook-version og giver dem derved adgang til de seneste bugfixes, sikkerhedsopdatringer og det nyeste indhold.«

Læs også: Ny Facebook-lækage: Tre millioner brugeres data lækket

Dermed cementerer Facebook, at applikationen er kommet for at blive og ping’e selskabets servere med mobilbrugernes data. Hvad enten man har en bruger hos Facebook eller ej, skriver The Register.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rasmus Malver

Husk at det kun er i USA at man kan miste garanti på at roote sine produkter. “Garanti” er en fjollet størrelse, som ikke har den store betydning i EU, når den ikke giver rettigheder ud over de 2 år som vi automatisk får.

Indenfor de første 6 måneder er det op til producenten at bevise at du har skabt problemet. I de sidste 18 er det op til dig. Så vi er ret godt stillet, ift. amerikanere.

  • 2
  • 0
Hans Nielsen

Ud over kvaliteten af kamera, så er software på en telefon efterhånden lige så vigtigt for mig. Eller retter gerne et fravær af så meget malware som producenten ligger på, sammen med deres egne tjenester.

Google Nexus telefoner, kan jeg (til nød) leve med, da jeg alligevel har solgt kropsdele til dem, men deres sidste versioner har været for dyre. Men samsung S8 røg tilbage under retur retten. Og min sony Z5 ligger i en skuffe, alt sammen på grund af "DÅRLIGT SOFTWARE" Og nej, jeg burde ikke have en aktiveret konto, som løbende skal logge ind ved producenten, for at min telefon ikke skal virke bøvlet. Og jeg vil selv bestemme hvad der køre på den af service.

Så min næste telefon bliver nok igen en One Plus, som ikke er så slem. Men det går nok noget tid, min p10 huawei er faktisk ikke allerværst. Man skal bare være vågen. Som når man beder om at sende en mail med et foto fra telefonen. Så vil den gerne oprette en konto, og lige låne alle mail og kontaktpersoner fra google. Men heldigvis kan man slå sådan noget ihjel, i de nye versioner af Android.

Men sådan indsamlinger må høre ind under GDPR, og jeg kan da ugentligt høre min mobilproducent, om de ved det uheld, har fået "aktiveret" noget software som samler informationer. Også bede dem om at slette det. Hvis vi alle sammen gør det, får det nok stop i EU.

SONY er slem, for at kunne hente alle data fra telefonen, via et usb kabel, så kræver det at du har en Windows PC og har deres egen software installere og registret. Overvejet at root den, men så god er den ikke, at det er besværet værd.

Men udover at SONY og SAMSUNG mobiltelefoner er noget lort, med hensyn til malware og privacy. Er der andre som kan anbefale, eller vil advare mod nogle producenter.

Min liste, over telefoner med CRAP og Malware.

++ One.Plus (Root) meget nemt at roote,
+ One.plus
+ Google Nexus (Skulle næsten have et plus mere for opdateringer)
0 huawei
-- Samsung
--- SONY

Andre som har nogle de vil advare i mod.. Og nogle de vil anbefale ?

  • 4
  • 1
Jan Vennike

Jeg har købt en Nokia 8 og bortskaffet min Samsung S7 af nøjagtigt samme grunde - ikke alt det mærkelige der ligger på man ikke kan komme af med. Fx lå den komplette Microsoft Office suite på Samsung'en og man kunne ikke slippe af med den :-(

Lige der er Nokia'en meget bedre - der ser godt nok ikke ud til at være noget ud over den rå Android - men det er så også det eneste gode at sige om Nokia'en, for hardwaren er godt nok ikke noget at råbe hurra for. Nokia var ellers gode til antenner i Nokia V1, men det har de vist glemt i i Nokia V2, for den har godt nok nogle elendige 4G/WiFi/Bluetooth forbindelser - der var min aldrende Samsung NOGET bedre.

  • 0
  • 0
Michael Cederberg

Bliver alle vi ikke-brugere så GDPR-millionærer
...om et par uger?

Hvis telefonen ikke sender noget som kan identificerer dig som person, så er der ikke noget problem (rent GDPR mæssigt). Men jeg vil mene at hvis den fx. sender GPS position, så er det et problem med GDPR. Men hvis den blot fortæller at facebook ikke er aktiveret samt hvor gammel telefonen er, så er der ikke noget GDPR problem i mine øjne.

Næste skridt på EU's privacy korstog kunne være at kræve at producenterne skriver på "æsken" hvilke der sendes af data som default og hvad der ikke kan slås fra. De kunne så samtidigt skrive hvor længe de ydede support på produktet, sådan at det ikke kommer som en overraskelse senere.

  • 2
  • 2
Hans Nielsen

Men hvis den blot fortæller at facebook ikke er aktiveret samt hvor gammel telefonen er, så er der ikke noget GDPR problem i mine øjne.


Kan se mange problemmer også med hensyn til GDPR.

1
Det kan være en del af det ID, på ikke oprettet bruger på FB.
- Der hvor du bliver gemt og profileret som skygge profil, uden mulighed for at se hvad de har om indsamlet, og uden du kan slette det.

2
Det kan være de profile dig og sender data, selv om du har sagt nej.
De ved jo hvem du er, ud fra Telefonnummer, og andre oplysninger på telefonen.

Ting som måske ikke har så meget med GDPR at gøre, men dog med ejerskab.

Hvis jeg har købt en telefonen. Så vil jeg have retten til at bestemme hvad der køre og ikke køre på den.

Du betaler jo for den trafik som programmet bruger. Så man kan sige at facebook stjæler "data" fra dig ud. Ud over dit privatliv :-)

Personligt ville jeg ikke eje en telefon der opførte sig sådan. Se at få dig en ny. Udover at sende data, stjæler de extra service også batteritid. og gør telefon langsomt, og måske ustabil .

Men Jan Vennike du siger at Samsung skal i Kategori med SONY.

Ny liste.

Jan og Hans liste, over telefoner med CRAP og Malware. Køb fra oven af.

++ One.Plus (Root) meget nemt at roote,
+ One.plus
+ Google Nexus (Skulle næsten have et plus mere for opdateringer)
+ Nokia
0 huawei
--- Samsung
--- SONY

  • 2
  • 1
Jesper Lund

Er der virkeligt ikke nogen erstatning i GDPR til ofrene for overgreb på privatlivets fred via sjusk/forbrydelse med persondata?

Jo, men.. it's complicated. Især i Danmark.

Efter artikel 82 har du ret til erstatning for enhver materialle og immaterial skade. Spørgsmålet er så hvad det betyder.. Justitsministeriet mener at "immateriel" skal fortolkes snævert, så du skal kunne dokumentere et økonomisk tab (hvor immaterial skade kunne være mistet omsætning). Det er ikke nemt som almindelig borger, der er ramt af uretmæssig behandling af personoplysninger.

Det er lidt uklart, mener Justitsministeriet (i betænkningen om databeskyttelsesforordningen), om reglerne om erstatning skal fortolkes på samme måde i alle medlemsstater (fuld-harmonisering), eller om man skal følge den nationale praksis for erstatning, herunder hvad "immateriel" betyder (hvor Danmark er meget tilbageholdende med erstatning).

En anden mulighed er godtgørelse for tort, men det er i så fald national ret, ikke EU-retten (GDPR). Også her er det lidt op ad bakke med at få penge ud af skadevolder.

TL;DR It's complicated.

Umiddelbart vil jeg hellere bruge min tid på at få virksomheder og offentlige myndigheder til at overholde databeskyttelsesforordningen frem for at jagte erstatninger.

  • 1
  • 0
Michael Cederberg

Kan se mange problemmer også med hensyn til GDPR.

Jeg skrev: "Hvis telefonen ikke sender noget som kan identificerer dig som person, så er der ikke noget problem (rent GDPR mæssigt)".

GDPR omhandler kun personhenførbar information.

At bloatware fylder plads, spiser batteri, æder mobildata og i øvrigt gør telefonen mindre god er ganske rigtigt. Det har bare ikke noget at gøre med GDPR og det var mod det jeg opponerede.

  • 0
  • 2
Hans Nielsen

Jeg skrev: "Hvis telefonen ikke sender noget som kan identificerer dig som person, så er der ikke noget problem (rent GDPR mæssigt)".


Tror at det Jesper Lund prøvet at fortælle dig pænt var.

At det HELT sikkert ikke på nogen måder er lovlig, at sende data fra din telefon/enhed/OS uden dit samtykke. Samt du ikke har forstået pointen i GDPR.

MEGET KORT. - Som jeg har forstået det.
Du må kun gemme og bruge de data om personer, som er helt nødvendigt, f.eks. for dokumentation til myndigheder og regnskab. Du må slet ikke gemme "personlige oplysninger" som politisk overbevisning, estisk oprindelse.

Du skal altid oplyse personer, om hvad du indsamler af oplysninger om dem.

Hvis du vil gemme noget, som der ikke er nødvendigt. Så skal du have
skriftligt samtykke. Som et aktivt tilvalg. Dette tilvalg, må ikke være et krav, for at yde servicen/varen som du sælger

Derudover skal du, kunne finde og oplyse til en person, inden for en rimelig tid, hvad du har af information på personen. Samt kunne slette det , hvis personen kræver det.

Derudover, må du ikke dele dine oplysninger med andre, og alt din databehandling skal foregå inden for EU, eller under GDPR.

Hvis du ikke har styr på dette, så koster det dyrt i bøder.

Omskrivninger, "bortforklaringer" og mange andre krumspring som vi har hørt fra diverse umoralske og uetiske firmaer der har levet af dataindsamling, eller om har set bort fra den gamle lovgivning.
Er ynkelige krokodilletårer for dem, som nu risikere at få fingeren i klemme i kagedåsen

Dit halmstrå, om at data jo er anonymiserede, er som jeg forstår det. ikke gangbart. Alt "anonymiseret" data er direkte hent hørt under persondata. Da anonymisering de facto, ikke kan være eksisterende.

Hvis du kan finde ud af at anonymisere data, sådan rigtigt. Mens de stadig er brugbart og valide kommercielt Så tror jeg det venter dig en pris af en slags :-)

Hvis du modtager data fra enheder, kender du jo modtagerens IP. Eller den skal logge ind, med id og pw. Det alene, betyder jo at du kan identificeres, og derfor gælder GDPR.

Nu mener jeg ikke du er umoralsk, eller uetisk MC, men jeg tror ikke du har forstået hvor gennemgribende denne lov, måske kan gå hen og være Alt efter hvordan den bliver fortolket . Men som jeg skrev i min første indlæg i tråden, lad os se. Tror ingen helt rigtigt ved det.

Personlig drømmer jeg :-) Og håber at det eneste sure ved loven bliver, at den ikke gælder fuldt for det offentlige, samt at det ikke kan dømmes fængselsstraffe i grove eller gentagne tilfælde.

Don't Panic :-) Husk dit håndklæde, så du kan tørre øjnene.

  • 2
  • 0
Tauno Suikkanen

"man", dem der kun anvender den router, de får leveret af deres internet leverandør. Er det ikke sådan at internet udbyderen kan "kigge lige gennem routeren" og ind på folks PC ? Dvs at en medarbejder hos internet udbyderen har adgang til alle de personlige data, som ligger på computeren ?

I så fald er der vel rigtig mange, der er på kant med GPDR.

  • 1
  • 0
Michael Cederberg

Tror at det Jesper Lund prøvet at fortælle dig pænt var.

Nu fik jeg ikke svaret Jesper direkte, men hans svar var en stråmand. Hvis man ikke indsamler data som er personhenførbart, så gælder GDPR ikke. Men jeg havde overset artikel 14 og den var jeg glad for at opdage. Selvom GDPR ikke gælder når data er anonyme.

At det HELT sikkert ikke på nogen måder er lovlig, at sende data fra din telefon/enhed/OS uden dit samtykke. Samt du ikke har forstået pointen i GDPR.

Selvfølgeligt er det lovligt at sende data. Der er bare data som ikke er lovligt. Fx. er det tilladt at lave en firmware update service, som periodisk checker om der er updates. Det behøver man ikke fortælle om ifbm. GDPR. Men hvis man sender personhenførbart data, så er det en anden sag. Det kunne være MSIN, EMEI e.lign.

Jeg skal endnu engang citere fra GDPR regulativet:

The principles of data protection should apply to any information concerning an identified or identifiable natural person.
...
The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.
citat

Det kan ikke blive mere klart. Anonym information kan man gemme som man vil (mht. GDPR). Men det skal være rigtigt anonymt ... ikke noget med smutveje. Og selvfølgeligt har anonym information også værdi.

Hvis du modtager data fra enheder, kender du jo modtagerens IP. Eller den skal logge ind, med id og pw. Det alene, betyder jo at du kan identificeres, og derfor gælder GDPR.

Mange har brugt lang tid på at fortælle os at IP ikke kan bruges til at idenficere personer (ifbm. download af copyrightet materiale) men lad det ligge.

GDPR handler om hvilke information der behandles. Hvis telefonen ikke sender id og pw (eller alt muligt andet personligt), så er der ikke noget problem (rent GDPR mæssigt). Mit eksempel gik på at telefonen blot fortalte at facebook ikke var aktiveret og hvor gammel telefonen var. Der er intet personhenførbart i det (dvs. intet telefonnummer, bruger id, etc.).

Dit telefonnummer, emei kode, enheds-id, og ip-adresse er personhenførbart, såååå deeeet....
Tilsæt hertil evt. tracking-id som div. apps tilføjer for at kunne tracke dig.

Men så er det en anden sag. Du laver præmissen om. Jeg skrev: "Hvis telefonen ikke sender noget som kan identificerer dig som person, så er der ikke noget problem (rent GDPR mæssigt)".

  • 1
  • 2
Hans Nielsen

Opdateret liste, med 3 nye producenter. Nok ikke de meste solgte i EU.
På grund af denne
https://www.version2.dk/artikel/malware-praeinstalleret-paa-nye-android-...

++ One.Plus (Root) meget nemt at roote,
+ One.plus
+ Google Nexus (Skulle næsten have et plus mere for opdateringer)
+ Nokia
0 huawei
--- Samsung
--- SONY
---- ZTE
---- Archos
---- Prestigio

  • 0
  • 0
Log ind eller Opret konto for at kommentere