Οι εφαρμογές γυμναστικής αποτελούν κίνδυνο για το απόρρητό σας, για αυτό το λόγο

Αυτή η ανάρτηση ενημερώθηκε στις 31 Οκτωβρίου 2019.


Οι εφαρμογές φυσικής κατάστασης και υγείας έχουν σχεδιαστεί για να σας βοηθούν να καταγράφετε και να ποσοτικοποιείτε πόσο ασκείστε, ποια συνταγογραφούμενα φάρμακα παίρνετε, ακόμη και ποιες μεθόδους ελέγχου των γεννήσεων χρησιμοποιείτε. Ενώ αυτές οι εφαρμογές μπορούν να βοηθήσουν στη βελτίωση της υγείας σας, μπορούν επίσης να θέσουν σε κίνδυνο το απόρρητό σας. Στις χειρότερες περιπτώσεις, έχουν θέσει τους ανθρώπους σε φυσικό κίνδυνο, όπως η αποκάλυψη διευθύνσεων σπιτιού τζόκερ και η τοποθεσία σε πραγματικό χρόνο.

Πολλές από αυτές τις εφαρμογές εκθέτουν ευαίσθητες πληροφορίες ή τις κοινοποιούν σε δεκάδες τρίτα μέρη, συμπεριλαμβανομένου του Facebook, χωρίς να παρέχουν στους χρήστες τις πλήρεις λεπτομέρειες στην πολιτική απορρήτου τους. Αυτές οι πληροφορίες μπορεί να περιλαμβάνουν ευαίσθητα δεδομένα τοποθεσίας, εμπιστευτικά ιατρικά δεδομένα ή ακόμη και εξαιρετικά προσωπικά στοιχεία, όπως εάν κάνετε ή όχι σεξ.

Αυτοί οι τύποι εφαρμογών έχουν εξελιχθεί σε δημοτικότητα τα τελευταία πέντε χρόνια. Το 2018, μόνο το Fitbit είχε πάνω από 27 εκατομμύρια χρήστες. Νωρίτερα φέτος, η Strava ισχυρίστηκε ότι είχε 42 εκατομμύρια χρήστες – και ότι προσθέτει ένα εκατομμύριο χρήστες κάθε μήνα. Δεδομένων των ευαίσθητων δεδομένων που συλλέγουν αυτές οι εφαρμογές και του κακού τους αρχείου προστασίας των δεδομένων, αυτές οι εφαρμογές αποτελούν σημαντική απειλή για το απόρρητο των χρηστών τους.

Ποιες εφαρμογές γυμναστικής γνωρίζουν για εσάς

Οι περισσότερες εφαρμογές φυσικής κατάστασης, όπως τα Fitbit, Strava, MapMyRun, Nike + Run και Asics Runkeeper, για να αναφέρουμε μερικά, έχουν μια φορητή συσκευή που συγχρονίζεται με το smartphone σας. Αυτή η φορητή συσκευή μπορεί να συλλέξει πληροφορίες, συμπεριλαμβανομένου του αριθμού των βημάτων που ακολουθείτε, του καρδιακού σας ρυθμού, του ταξιδιού σας και του πότε, του βάρους σας και όταν είστε ξύπνιοι ή κοιμάστε.

Οι ανιχνευτές υγείας είναι γενικά εφαρμογές που εγκαθιστάτε στο τηλέφωνό σας. Στηρίζονται σε εσάς για να συμπληρώσετε φόρμες για την υγεία σας για τη συλλογή δεδομένων. Ανάλογα με το τι στοχεύει η εφαρμογή, μπορεί να κυμαίνεται από τυπικές ερωτήσεις σχετικά με την υγεία σας (Είστε τραυματισμένοι;) έως ερωτήσεις σχετικά με αρκετά ευαίσθητα θέματα (Χρησιμοποιείτε προστασία όταν κάνετε σεξ;).

Αυτά τα δεδομένα μπορεί να παραβιαστούν

Οι κατασκευαστές εφαρμογών γυμναστικής, όπως και κάθε άλλη βιομηχανία, υπέστησαν παραβιάσεις δεδομένων. Η παραβίαση που έπληξε το MyFitnessPal του UnderArmour το 2018 είναι η μεγαλύτερη μέχρι σήμερα. Αποκάλυψε τα ονόματα χρήστη, τους κωδικούς πρόσβασης και τις διευθύνσεις email περισσότερων από 150 εκατομμυρίων χρηστών. Ενώ οι χάκερ συνήθως αναζητούν δεδομένα, μπορούν εύκολα να δημιουργήσουν έσοδα (όπως ο αριθμός της πιστωτικής σας κάρτας), η σκέψη ότι τα δεδομένα τοποθεσίας ήταν εκτεθειμένα είναι ιδιαίτερα ενοχλητική. Δεδομένου ότι οι τζόγκερ και οι ποδηλάτες τρέχουν γενικά και οδηγούν όπου ζουν, οι επιτιθέμενοι θα μπορούσαν επίσης να προσδιορίσουν πού ζούσε ο χρήστης κοιτάζοντας πού ξεκίνησαν και τελείωσαν οι περισσότερες διαδρομές.

Καμία από τις άλλες σημαντικές εφαρμογές φυσικής κατάστασης και υγείας δεν υπέστη σημαντική παραβίαση δεδομένων. Δυστυχώς, υπάρχουν λίγα πράγματα που μπορείτε να κάνετε για να διασφαλίσετε ότι μια εφαρμογή αποθηκεύει υπεύθυνα τα δεδομένα σας, εκτός από την κοινή χρήση δεδομένων μόνο με εταιρείες και οργανισμούς που εμπιστεύεστε.

Μάθετε περισσότερα σχετικά με το τι πρέπει να κάνετε εάν είστε θύμα παραβίασης δεδομένων.

Το απόλυτο ορυχείο δεδομένων

Η κοινή χρήση δεδομένων είναι η ουσία του ζητήματος. Οι εταιρείες εφαρμογών γυμναστικής συχνά ενθαρρύνονται να μοιράζονται τα πολύτιμα δεδομένα σας σε πραγματικό χρόνο με τρίτους, είτε είναι διαφημιστές, δικηγορικά γραφεία ή κοινωνικά δίκτυα όπως το Facebook που επωφελούνται από τις ευαίσθητες πληροφορίες σας. Εάν ήταν πλήρως διαφανείς σχετικά με τον τρόπο κοινοποίησης των δεδομένων σας ή τον τρόπο προσαρμογής των ρυθμίσεων απορρήτου σας, οι χρήστες ενδέχεται να είναι λιγότερο πιθανό να εμπιστεύονται τις εφαρμογές. Γι ‘αυτό, μέχρι σήμερα, η βιομηχανία εφαρμογών φυσικής κατάστασης και υγείας έχει παγιδευτεί από σκάνδαλα.

Υπάρχουν πολλοί έγκυροι λόγοι για μια εφαρμογή για κοινή χρήση δεδομένων. Μπορεί να οδηγήσει σε καλύτερη εξυπηρέτηση που θέλει ο χρήστης. Μπορεί επίσης να απαιτείται από το νόμο για αστυνομικές έρευνες. Ωστόσο, οι κατασκευαστές εφαρμογών δεν αντιμετωπίζουν πάντα το απόρρητο των ευαίσθητων πληροφοριών σας ως κορυφαία προτεραιότητα.

Υπάρχουν τρεις βασικοί τρόποι κατάχρησης των δεδομένων σας από τις εφαρμογές φυσικής κατάστασης και υγείας:

  1. Εκθέτουν αυτόματα δεδομένα απευθείας από το κουτί. Εάν οι χρήστες θέλουν να χρησιμοποιήσουν αυτές τις εφαρμογές και να προστατεύσουν το απόρρητό τους, πρέπει να ενημερώσουν τις ρυθμίσεις απορρήτου εντός της εφαρμογής ή στο smartphone τους, κάτι που κάνουν λίγοι χρήστες.
  2. Οι πολιτικές απορρήτου τους είναι ασαφείς. Μια πολιτική απορρήτου που αναφέρει ότι “Μπορούμε να μοιραστούμε τα στοιχεία σας με τους χορηγούς μας ή / και τους συνεργάτες μας” δεν παρέχει στον χρήστη αρκετές πληροφορίες για να λάβει μια ενημερωμένη απόφαση.
  3. Οι πολιτικές απορρήτου τους είναι παραπλανητικές. Σε ορισμένες περιπτώσεις, οι εφαρμογές δεν αποκαλύπτουν πώς χρησιμοποιούνται τα δεδομένα στην πολιτική απορρήτου τους. Το κρύβουν σε ξεχωριστό έγγραφο ή το μεταμφιέζουν σε σύγχυση νομικών. Άλλες, μικρότερες εφαρμογές υγείας ενδέχεται να μην έχουν καθόλου πολιτική απορρήτου.

Αδύναμες προεπιλεγμένες ρυθμίσεις απορρήτου

Ένα πρωταρχικό παράδειγμα του πρώτου προβλήματος είναι η εφαρμογή γυμναστικής Strava και η λειτουργία Beacon, η οποία προδίδει την τοποθεσία των ποδηλατών και των δρομέων σε πραγματικό χρόνο. Αυτό έχει κάνει την εφαρμογή χρυσό ορυχείο για κλέφτες.

Ετσι δουλευει. Το Strava συνδυάζει την παρακολούθηση φυσικής κατάστασης με μια πλατφόρμα κοινωνικών μέσων που επιτρέπει στους χρήστες του να ανταγωνίζονται και να αλληλεπιδρούν μεταξύ τους. Για να λειτουργεί το Strava, χρειάζεται πρόσβαση και άδεια για κοινή χρήση των δεδομένων τοποθεσίας σας. Διαθέτει επίσης μια λειτουργία “FlyBy”, η οποία σας επιτρέπει να αναζητήσετε άλλους χρήστες Strava που είδατε ή περάσατε κατά την εκτέλεση.

Ωστόσο, δεν χρειάζεται να είστε χρήστης Strava για πρόσβαση στην πλατφόρμα ή αναζήτηση διαδρομών. Μόλις επιλεγεί μια διαδρομή, μπορείτε να μάθετε σε ποιον ανήκει, να δείτε το προφίλ αυτού του ατόμου και να δείτε πού αλλού είναι πιθανό να τρέξουν. Αυτά τα δεδομένα μπορούν συχνά να χρησιμοποιηθούν για τον εντοπισμό των σπιτιών των ανθρώπων. Αυτό το ζήτημα παρουσιάζεται επίσης σε μικρότερο βαθμό για το MapMyRun, το Nike + Run και οποιαδήποτε εφαρμογή παρακολουθεί τις διαδρομές σας και σας επιτρέπει να μοιράζεστε αυτά τα δεδομένα.

Ενώ τα μέσα ενημέρωσης σταθεροποιούνταν σε στρατιωτικές βάσεις που εκτίθενται από διαδρομές τζόκινγκ στρατιωτών με τη λειτουργία “HeatMap” του Strava, αυτά τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την εύρεση και την παρακολούθηση οποιουδήποτε χρήστη του Strava.

Η διαρροή δεδομένων του χάρτη θερμότητας Strava έγινε πολύ χειρότερη:

– Τα δεδομένα μπορούν να απο-ανωνυμοποιηθούν
– Περιλαμβάνει ονόματα και διαδρομές ατόμων που βρίσκονται σε στρατιωτικές εγκαταστάσεις υψηλής ασφάλειας
– Μια γρήγορη αναζήτηση εμφανίζει τα ονόματα 50 αμερικανικών υπαλλήλων σε μια βάση στο Αφγανιστάν
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 Ιανουαρίου 2018

Το 2014, οι αρχές επιβολής του νόμου απέδωσαν απότομη αύξηση των κλοπών ποδηλάτων στο Ηνωμένο Βασίλειο σε κλέφτες που χρησιμοποιούν δεδομένα Strava. Το ίδιο συνέβη ξανά το 2018.

“Δεν νομίζω ότι πολλοί άνθρωποι γνώριζαν ότι αυτές οι εφαρμογές χαρτογράφησης μπορούν βασικά να δώσουν τεράστιο αριθμό πληροφοριών σε έναν υποψήφιο κλέφτη. Πρέπει λοιπόν να έχουμε τους ανθρώπους να ελέγχουν το απόρρητό τους », δήλωσε ο Adam Lang, αστυνομικός που εξέτασε τις κλοπές ποδηλάτων το 2018.

Το Strava διαθέτει ελέγχους απορρήτου. Δυστυχώς, λίγοι χρήστες τους ενεργοποιούν και χρειάζονται μόνο λίγες διαδρομές για να αποκαλυφθεί η τοποθεσία του σπιτιού σας. Επιπλέον, η ενεργοποίηση ορισμένων από τις δυνατότητες απορρήτου, όπως η απενεργοποίηση της λειτουργίας “FlyBy”, υπονομεύει τη χρηστικότητα της εφαρμογής.

Ασαφείς πολιτικές απορρήτου

Το παραπάνω παράδειγμα – “Μπορούμε να μοιραστούμε τις πληροφορίες σας με τους χορηγούς μας ή / και τους συνεργάτες μας” – δεν είναι υποθετικό. Προέρχεται από την πολιτική απορρήτου του ιχνηλάτη ωορρηξίας Maya, η οποία ισχυρίζεται ότι έχει περισσότερους από οκτώ εκατομμύρια χρήστες παγκοσμίως. Αυτές οι πληροφορίες δεν είναι επαρκείς ώστε ο χρήστης να δώσει τη συγκατάθεσή του κατόπιν ενημέρωσης. Πουθενά στην πολιτική της Maya δεν απαριθμούν τον τύπο δεδομένων που μοιράζονται ή με ποιους οργανισμούς κοινοποιούν.

Αυτό αφορά ιδιαίτερα την εξέταση του τύπου των δεδομένων που συλλέγει η Maya, η οποία περιλαμβάνει πληροφορίες σχετικά με τη διάθεσή σας, τι είδους αντισύλληψη χρησιμοποιείτε, εάν κάνετε σεξ και εάν χρησιμοποιείτε προστασία. Μια έκθεση της Privacy International αποκάλυψε την αόριστη πολιτική και το γεγονός ότι η Maya μοιράζεται δεδομένα με πολλά τρίτα μέρη, συμπεριλαμβανομένου του Facebook. Η έκθεση υπογράμμισε επίσης τον ιχνηλάτη ωορρηξίας MIA Fem. Η MIA Fem είχε εξίσου αόριστη πολιτική απορρήτου, αλλά έκτοτε την ενημέρωσε για να αντικατοπτρίζει ποια δεδομένα πηγαίνουν σε ποιους συνεργάτες. Είναι μόνο η πιο πρόσφατη εφαρμογή υγείας που προσαρμόζει την πολιτική απορρήτου της αφού πιάσει την κοινή χρήση δεδομένων χωρίς να ενημερώσει τους χρήστες της.

Η εφαρμογή παρακολούθησης ωορρηξίας Flo σταμάτησε να μοιράζεται δεδομένα με το Facebook αφού μια ιστορία της Wall Street Journal αποκάλυψε παρόμοια κοινή χρήση δεδομένων χωρίς συγκατάθεση. (Ένα πράγμα που έχουν τα κοινά Flo, Maya και MIA Fem είναι ότι δημιουργήθηκαν με το κιτ ανάπτυξης λογισμικού του Facebook (SDK), το οποίο επιτρέπει στους προγραμματιστές να ενσωματώνουν λειτουργίες και επιτρέπει στο Facebook να συλλέγει δεδομένα χρηστών, ώστε να μπορεί να εμφανίζει στοχευμένες διαφημίσεις. Το SDK του Facebook έχει στην καρδιά πολλών άλλων παραβιάσεων της ιδιωτικής ζωής.)

Παραπλανητικές πολιτικές απορρήτου

Το HealthEngine είναι μια δημοφιλής εφαρμογή στην Αυστραλία, που χρησιμοποιείται από περισσότερα από 1,5 εκατομμύρια άτομα για να προγραμματίσει ραντεβού γιατρού. Μια πρόσφατη έρευνα διαπίστωσε ότι η εφαρμογή κοινοποίησε τις ιδιωτικές ιατρικές πληροφορίες των χρηστών της με τοπικούς δικηγόρους τραυματισμών χωρίς τη συγκατάθεσή τους.

Οι χρήστες ρωτήθηκαν εάν είχαν εμπλακεί σε αυτοκινητιστικό ατύχημα ή υπέστησαν τραυματισμό που σχετίζεται με την εργασία. Εάν απάντησαν ναι, η εφαρμογή ειδοποίησε τους δικηγόρους τραυματισμών σχετικά με τις λεπτομέρειες των προβλημάτων υγείας τους. Σε καμία περίπτωση δεν ρωτήθηκαν οι χρήστες εάν συναινέσουν στην κοινοποίηση των δεδομένων τους με τους δικηγόρους, ούτε αναφέρθηκε η κοινοποίηση των δεδομένων τους με δικηγόρους στην πολιτική απορρήτου της HealthEngine. Το γεγονός ότι τα προσωπικά τους ιατρικά δεδομένα θα αποσταλούν σε δικηγορικό γραφείο αποκαλύφθηκε μόνο σε ξεχωριστή «Δήλωση Συλλογής». Ο μόνος τρόπος με τον οποίο οι χρήστες θα μπορούσαν να εξαιρεθούν από αυτήν την κοινή χρήση δεδομένων ήταν να μην χρησιμοποιούν την εφαρμογή.

Στις ΗΠΑ, οι εφαρμογές υγείας Cardiio και My Baby’s Beat και η εφαρμογή γυμναστικής Runtastic αναγκάζονται να αναθεωρήσουν τις πολιτικές απορρήτου τους αφού ο Γενικός Εισαγγελέας της Νέας Υόρκης δήλωσε ότι μοιράζονται δεδομένα με τρίτα μέρη χωρίς σαφή συγκατάθεση.

Τι πρέπει να κάνετε για να προστατεύσετε το απόρρητό σας

Μπορεί να προκαλεί έκπληξη το γεγονός ότι είναι ακόμη νόμιμο για τις εφαρμογές να μοιράζονται τις ιατρικές πληροφορίες των ανθρώπων τόσο ευρέως. Ωστόσο, ο νόμος περί απορρήτου για την υγεία των ΗΠΑ, HIPAA, δεν ισχύει για πληροφορίες που συλλέγουν οι πελάτες για δική τους χρήση. Αυτό σημαίνει, στις περισσότερες περιπτώσεις, οι εφαρμογές φυσικής κατάστασης δεν εμπίπτουν στον κανονισμό.

Νέοι κανονισμοί στις ΗΠΑ που στοχεύουν συγκεκριμένα εφαρμογές φυσικής κατάστασης και υγείας θα μπορούσαν να ενθαρρύνουν τους προγραμματιστές να είναι πιο υπεύθυνοι με ευαίσθητα δεδομένα, αλλά μέχρι στιγμής δεν έχει σημειωθεί πρόοδος. Οι προσπάθειες των γερουσιαστών των ΗΠΑ να αποτρέψουν την πώληση ιδιωτικών δεδομένων για την υγεία σε ασφαλιστές, ενυπόθηκους δανειστές και εργοδότες δεν έχουν οδηγήσει πουθενά.

Ο GDPR της ΕΕ παρέχει κάποια προστασία στο ότι απαιτεί συγκατάθεση μετά από ενημέρωση και σαφήνεια πριν από την κοινή χρήση δεδομένων. Αυτό είναι ένα όριο που πιθανότατα παραβιάζει η Maya, δεδομένου ότι δεν παραθέτει όλα τα δεδομένα που μοιράζεται ή που λαμβάνει τα δεδομένα στην πολιτική απορρήτου της. Αυτό ισχύει μόνο για άτομα που ζουν στην Ευρωπαϊκή Ένωση.

Ο καλύτερος τρόπος να παραμείνετε ιδιωτικοί κατά τη χρήση εφαρμογών παρακολούθησης φυσικής κατάστασης ή παρακολούθησης υγείας είναι να πάρετε τα πράγματα στα χέρια σας.

Αυτά είναι τα πιο σημαντικά βήματα που μπορείτε να κάνετε για να παραμείνετε ασφαλείς:

  1. Διαβάστε την πολιτική απορρήτου: Εάν δεν είναι σαφές σχετικά με τα δεδομένα που κοινοποιεί και με ποιους οργανισμούς κοινοποιεί δεδομένα, υποθέστε ότι όλα τα δεδομένα που εισάγετε σε αυτήν την εφαρμογή θα μπορούσαν να κοινοποιηθούν σε οποιονδήποτε αριθμό άγνωστων τρίτων. Εάν δεν είστε άνετοι με αυτό, βρείτε μια άλλη εφαρμογή.
  2. Ελέγξτε εάν υπάρχουν ρυθμίσεις απορρήτου: Αφιερώστε χρόνο για να ελέγξετε τις ρυθμίσεις απορρήτου. Η αποτροπή της εφαρμογής από την κοινή χρήση των δεδομένων σας είναι καλή, αλλά η πιο ιδιωτική λύση είναι να αποτρέψετε την πρώτη συλλογή δεδομένων.
  3. Περιορίστε τα δεδομένα που εισάγετε στην εφαρμογή: Πολλές από αυτές τις εφαρμογές συλλέγουν περισσότερα δεδομένα από αυτά που είναι απαραίτητα για την εξυπηρέτηση της βασικής τους λειτουργίας. Ερώτηση εάν πρέπει να κοινοποιήσετε αυτά τα δεδομένα για να χρησιμοποιήσετε την εφαρμογή. Για παράδειγμα, δεν υπάρχει κανένας λόγος που ένας ιχνηλάτης ωορρηξίας πρέπει να γνωρίζει εάν έχετε σεξουαλική επαφή χωρίς προστασία για να λειτουργήσει.
  4. Σε περίπτωση αμφιβολίας, ρωτήστε: Εάν δεν είστε βέβαιοι για τον τρόπο με τον οποίο μια εταιρεία εφαρμογών φυσικής κατάστασης σχεδιάζει να χρησιμοποιήσει τα δεδομένα σας, στείλτε τους ένα μήνυμα ηλεκτρονικού ταχυδρομείου και ρωτήστε. (Και αν το κάνετε, ενημερώστε μας τι λένε!)

Οι εφαρμογές φυσικής κατάστασης και υγείας είναι εξαιρετικά εργαλεία που μπορούν να σας βοηθήσουν να παραμείνετε σε φόρμα και να παρακολουθείτε την πρόοδό σας. Αλλά δεν πρέπει να θέσετε σε κίνδυνο την ψηφιακή σας υγεία για χάρη της σωματικής σας υγείας. Είναι σημαντικό να γνωρίζετε ότι οι εφαρμογές που κατεβάζετε ενδέχεται να θέσουν σε κίνδυνο το απόρρητό σας.

τις καλύτερες ευχές,
Η ομάδα ProtonVPN

ΕΝΗΜΕΡΩΣΗ 1 Νοεμβρίου 2019: Η Google ανακοίνωσε ότι θα αγόραζε Fitbit για 2,1 δισεκατομμύρια δολάρια. Αυτό αυξάνει τη δυνατότητα της Google να έχει πρόσβαση στα δεδομένα υγείας του Fitbit για διαφήμιση, αλλά στελέχη της Google δήλωσαν ότι αυτό δεν θα συμβεί. Σε ένα email στους πελάτες, ο Διευθύνων Σύμβουλος της Fitbit έγραψε: “Ποτέ δεν πουλάμε τα προσωπικά σας στοιχεία και τα δεδομένα υγείας και ευεξίας του Fitbit δεν θα χρησιμοποιούνται για διαφημίσεις Google.” Η συμφωνία αναμένεται να ολοκληρωθεί κάποια στιγμή τον επόμενο χρόνο.

Twitter | Facebook | Reddit | Ίνσταγκραμ

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map