Forskere vil give os kontrollen over privatlivet tilbage
»Nej, folk er ikke ligeglade.«
Dave Choffnes, lektor på Northeastern University i Boston og hovedforsker på et projekt om spredningen af personfølsomme data, hæver stemmen en smule, for han har hørt argumentet mange gange: at de fleste af os brugere i virkeligheden ikke bekymrer sig os en døjt om, hvilke elektroniske spor vi efterlader, når vi bevæger os rundt med vores mobiltelefon, benytter vores apps og surfer på nettet.
I hans eget forskningsprojekt, Recon, kunne de 300 deltagere se, hvem der modtog f.eks. deres geografiske placering, deres navn eller en ID-kode, som gør det muligt at identificere en mobiltelefon.
Sådan gjorde forskerne I forskningsprojektet Recon kortlagde amerikanske, finske og franske forskere, hvilke apps og webtjenester der sender personlige data. De godt 300 deltagere fik alle installeret VPN-software, der gjorde, at al trafik blev sendt videre ud på nettet gennem forskernes servere. Her blev trafikken analyseret ved hjælp af machine learning. Forskerne lærte systemet at genkende forskellige typer af personfølsomme oplysninger og knytte dem til apps og webtjenester. De gav hver spredning af personfølsomme data en score efter graden af alvorlighed, og ved at lægge hver eneste datatype sammen kunne de til sidst ranke hver eneste app og webtjeneste. I indekset tæller sikkerhed højest. Det vil sige, at apps, som sender f.eks. password i klartekst, får den højeste score. Det gør Facebook ikke. Efter Ingeniørens interesse for undersøgelsen har Facebook henvendt sig til forskerne, som anerkender, at der kan være en fejl i opgørelsen af scoren, og at Facebook derfor ikke burde ligge i top, selv om der er tale om den app, som spreder klart flest personlige data, muligvis fordi websider tilgået via appen tæller med. Brugerne kunne selv logge ind på en personlig side og følge, hvilke apps der havde indsamlet og videresendt hvilke data om dem. De kunne også forhindre f.eks. navn og GPS-position i at blive sendt videre, eller de kunne begrænse lokationen til at omfatte en by. Et stort forbehold i forskningsprojektet var, at det af etiske årsager udelukkende analyserede trafik, som blev sendt ukrypteret. Stadig flere apps kommunikerer krypteret og kan meget vel sende lige så mange personfølsomme data, som er smuttet uden om forskernes filter. Det kan også forklare, at Facebook til Android ikke fremstår som nær så aggressiv med at indsamle personlige oplysninger som Facebook til IOS. Projektet var godkendt af en videnskabsetisk komité, og de sidste data blev rapporteret i august. Der er tale om et øjebliksbillede for amerikanske brugere.
Særligt én visualisering fik brugerne op i det røde felt, og den omtaler Dave Choffnes som ‘where they know you have been’. Altså en oversigt over, hvor brugeren har opholdt sig, og hvem der har modtaget oplysningerne.
Den slags oplysninger er normalt helt skjult for os, og det er grunden til, at der er så lidt debat om retten til privatliv, når vi benytter vores smartphones, mener Dave Choffnes.
»For at have en god debat skal vi have information og fakta, men det er skjult for brugerne. Derfor ved de ikke engang, at der burde være en debat. Det er ikke, fordi folk er ligeglade, men der er ikke noget, de kan gøre for at beskytte deres privatliv,« siger han med henvisning til, at de fleste apps og tjenester ikke fungerer, hvis man siger nej til at dele private oplysninger.
Det er, påpeger forskningsanalytiker Jinyan Zang fra Harvard University, endnu sværere at holde personlige oplysninger for sig selv i diverse apps på mobilen, end når vi benytter en browser. Han stod i spidsen for et forskningsprojekt, som viste, at apps i gennemsnit deler personfølsomme data med tre eksterne parter.
»Til en browser findes der værktøjer som add-blockers og Ghostery, som vi kan slå til for at se og blokere de personlige data, som bliver sendt. Den slags værktøjer findes ikke til mobil-apps. Vi ved, at dataspredning finder sted, og brugerne kan ikke undgå det,« siger han.
»Selv for os forskere er det en udfordring at finde ud af, hvilke data der bliver sendt. For brugerne er det helt ugennemskueligt, om firmaet bag appen sælger data til tredjepart. Det er en udfordring,« tilføjer han.
Byggede sit eget værktøj
Recon-projektet opbyggede derfor sit eget værktøj til at analysere data. Ingeniøren har bedt Rene Rydhof Hansen, lektor på Institut for Datalogi på Aalborg Universitet, om at kigge resultaterne igennem. Han vurderer umiddelbart, at tilgangen ‘ser solid ud’.
Rene Rydhof Hansen blev ligesom Dave Choffnes overrasket over, hvor galt det står til med ikke kun privatlivet, men også sikkerheden i mobil-apps. Mange sendte nemlig password i klartekst, hvilket forskerne gjorde udbyderne opmærksomme på. Heller ikke det er til at gennemskue for brugerne.
De amerikanske forskere bevæger sig nu skridtet videre. Målet er at give alle mobilbrugere adgang til at se, hvilke personlige data forskellige apps og webtjenester indsamler om dem. Desuden vil de udvikle værktøjer, som gør det muligt at stoppe dataspredningen og alligevel benytte de apps, hvor man i dag ikke kan sige nej til at dele data.
Dave Choffnes kan dog ikke sige, hvornår det projekt bliver afsluttet, men målet er klart:
»Det handler om at skabe en kollektiv bevidsthed. Jo mere brugerne ser af, hvilken dataindsamling der foregår, des flere ændringer vil de forlange. Men som forsker kan jeg ikke gøre det alene,« siger han med en bøn til myndighederne:
»Det hjælper ikke noget, hvis ikke vi har regler for at indsamle og sprede personlige data, og reglerne hjælper intet uden myndigheder, der håndhæver det.«
Denne artikel stammer fra avisen Ingeniøren.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
