Líkamsræktarforrit eru áhætta fyrir friðhelgi þína, þess vegna

Þessi færsla var uppfærð 31. október 2019.


Líkamsræktar- og heilsuforrit eru hönnuð til að hjálpa þér að skrá og mæla hve mikið þú æfir, hvaða lyfseðilsskyld lyf þú tekur, jafnvel hvaða getnaðarvarnaraðferðir þú notar. Þó þessi forrit geti hjálpað til við að bæta heilsu þína geta þau einnig sett friðhelgi þína í hættu. Í verstu tilfellum hafa þeir sett fólk í líkamlega hættu, svo sem að sýna heimilisföng skokkara og staðsetningu í rauntíma.

Mörg þessara forrita afhjúpa viðkvæmar upplýsingar eða deila þeim með tugum þriðja aðila, þar á meðal Facebook, án þess að gefa notendum allar upplýsingar í persónuverndarstefnu sinni. Þessar upplýsingar geta innihaldið viðkvæmar staðsetningargögn, trúnaðarmál læknisupplýsinga eða jafnvel mjög persónulegar upplýsingar, eins og hvort þú stundir óvarið kynlíf eða ekki.

Þessar tegundir smáforrita sprakk í vinsældum undanfarin fimm ár. Árið 2018 átti Fitbit einn yfir 27 milljónir notenda. Fyrr á þessu ári fullyrti Strava að það væru 42 milljónir notenda – og að hann væri að bæta við einni milljón notenda í hverjum mánuði. Í ljósi viðkvæmra gagna sem þessi forrit safna og léleg gögn þeirra um að vernda þessi gögn eru þessi forrit í verulegri ógn við friðhelgi notenda.

Hvaða líkamsræktarforrit vita um þig

Flestar líkamsræktarforritin, eins og Fitbit, Strava, MapMyRun, Nike + Run og Asics Runkeeper, bara svo eitthvað sé nefnt, eru með wearable tæki sem samstilla við snjallsímann þinn. Það þreytanlega tæki getur safnað söfnuði upplýsinga, þar á meðal fjölda skrefa sem þú tekur, hjartsláttartíðni, hvar þú ferðast og hvenær, þyngd þín og hvenær þú ert vakandi eða sofandi.

Heilbrigðiseftirlit eru yfirleitt forrit sem þú setur upp í símanum. Þeir treysta á þig til að fylla út eyðublöð um heilsuna fyrir gagnaöflun. Það fer eftir því hvað appið miðar á, það gæti verið allt frá stöðluðum spurningum um heilsufar þitt (Ertu slasaður?) Og spurninga um ansi viðkvæm efni (notarðu vernd þegar þú stundar kynlíf?).

Hægt er að brjóta þessi gögn

Framleiðendur líkamsræktarforrita, rétt eins og hver önnur atvinnugrein, hafa orðið fyrir gagnabrotum. Brotið sem skall á MyFitnessPal UnderArmour árið 2018 er það stærsta til þessa. Það afhjúpaði notendanöfn, lykilorð og netföng meira en 150 milljón notenda. Þó tölvusnápur gangi yfirleitt eftir gögnum geta þeir auðveldlega aflað tekjuöflunar (eins og kreditkortanúmerið þitt) þá er hugsunin að staðsetningargögnum var afhjúpuð sérstaklega vandmeðfarin. Í ljósi þess að skokkarar og mótorhjólamenn almennt hlaupa og hjóla þar sem þeir búa, gætu árásarmenn einnig greint hvar notandinn bjó með því að skoða hvar meirihluti leiðanna byrjaði og endaði.

Ekkert af öðrum helstu líkamsræktar- og heilsuforritum hefur orðið fyrir meiriháttar gagnabrotum. Því miður er lítið sem þú getur gert til að tryggja að app geymi gögnin þín á ábyrgan hátt nema aðeins að deila gögnum með fyrirtækjum og stofnunum sem þú treystir.

Lærðu meira um hvað eigi að gera ef þú ert fórnarlamb gagnabrots.

Endanleg gögn minn

Samnýting gagna er meginatriði málsins. Fyrirtæki í líkamsræktaraðgerðum eru oft hvött til að deila verðmætum heilsufarsupplýsingum þínum í rauntíma með þriðja aðila, hvort sem það eru auglýsendur, lögmannsstofur eða félagsleg net eins og Facebook sem hagnast á viðkvæmum upplýsingum þínum. Ef þau voru að fullu gegnsæ um það hvernig gögnum var deilt eða hvernig hægt væri að laga persónuverndarstillingar þínar gætu notendur verið minna líklegir til að treysta forritunum. Það er þess vegna sem hingað til hefur líkamsræktar- og heilsuforritiðnaðinn verið hneykslaður af hneyksli.

Það eru margar gildar ástæður fyrir því að app deilir gögnum. Það getur leitt til betri þjónustu sem notandinn vill. Það getur líka verið krafist í lögum vegna rannsókna lögreglu. En framleiðendur forrita líta ekki alltaf á friðhelgi viðkvæmra upplýsinga þinna sem forgangsverkefni.

Það eru þrjár megin leiðir sem líkamsræktar- og heilsuforrit misnota gögnin þín:

  1. Þeir afhjúpa gögn sjálfkrafa úr kassanum. Ef notendur vilja nota þessi forrit og gæta friðhelgi einkalífsins verða þeir að uppfæra persónuverndarstillingarnar innan appsins eða á snjallsímanum sem fáir notendur gera.
  2. Persónuverndarstefna þeirra er óljós. Persónuverndarstefna sem segir: „Við kunnum að deila upplýsingum þínum með styrktaraðilum okkar og / eða viðskiptafélögum,“ veitir notandanum ekki nægar upplýsingar til að taka upplýsta ákvörðun.
  3. Persónuverndarstefna þeirra er villandi. Í sumum tilvikum gefa forrit ekki frá sér hvernig gögnin eru notuð í persónuverndarstefnu þeirra. Þeir fela það í sérstöku skjali eða dulbúa það með því að rugla lögfræðinga. Önnur, smærri heilsuforrit eru hugsanlega alls ekki með persónuverndarstefnu.

Veikar sjálfgefnar stillingar

Æðsta dæmi um fyrsta vandamálið er líkamsræktarforritið Strava og Beacon lögun þess, sem svíkur raunverulegan stað mótorhjólamanna og hlaupara. Þetta hefur gert appið að gullnámu fyrir þjófa.

Svona virkar það. Strava sameinar líkamsrækt með samfélagsmiðlapalli sem gerir notendum sínum kleift að keppa og hafa samskipti sín á milli. Til að Strava virki þarf það aðgang og leyfi til að deila staðsetningargögnum þínum. Það hefur einnig „FlyBy“ aðgerð, sem gerir þér kleift að fletta upp öðrum Strava notendum sem þú sást eða komst framhjá meðan þú ert að hlaupa.

Hins vegar þarftu ekki að vera Strava notandi til að komast á pallinn eða fletta upp leiðum. Þegar leið hefur verið valin geturðu komist að því hver hún tilheyrir, skoðað prófílinn og skoðað hvar þeir eru líklegri til að hlaupa. Oft er hægt að nota þessi gögn til að finna heimili fólks. Þetta mál er einnig til staðar í minna mæli fyrir MapMyRun, Nike + Run og hvaða forrit sem fylgist með hlaupunum þínum og gerir þér kleift að deila þessum gögnum.

Þó að fjölmiðlar hafi lagað sig á herstöðvar sem verða útundir af skokkaleiðum hermanna með „HeatMap“ eiginleikanum í Strava, væri hægt að nota þessi gögn til að finna og fylgja öllum Strava notendum.

Strava hitakortið gagnalekinn varð bara verri:

– Hægt er að afnema gögnin
– Inniheldur nöfn og hlaupaleiðir fólks á heröryggisaðstöðu
– Fljótleg leit sýnir nöfn 50 starfsmanna Bandaríkjanna við stöð í Afganistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29. janúar 2018

Árið 2014 rak löggæslan stóraukna þjófnað á hjólum í Bretlandi til þjófa sem nota Strava gögn. Sami hlutur gerðist aftur árið 2018.

„Ég held að ekki hafi margir verið meðvitaðir um að þessi kortagerðarforrit geta í grundvallaratriðum gefið miklum upplýsingum til þjóðar sem myndi verða. Þannig að við verðum að hafa fólk til að athuga friðhelgi sína, “sagði Adam Lang, lögreglumaður sem skoðaði þjófnað á hjólinu árið 2018.

Strava kemur með persónuverndareftirlit. Því miður, fáir notendur virkja þá og það tekur aðeins nokkrar keyrslur til að afhjúpa staðsetningu heimilis þíns. Ennfremur, grafa undan notkun einkalífsins, svo sem að slökkva á „FlyBy“ eiginleikanum, grafur undan notagildi forritsins.

Óljósar persónuverndarstefnur

Dæmið hér að ofan – „Við kunnum að deila upplýsingum þínum með styrktaraðilum okkar og / eða viðskiptafélögum“ – er ekki tilgáta. Það kemur frá persónuverndarstefnu eggjastokkarans Maya, sem segist eiga meira en átta milljónir notenda um allan heim. Þetta eru ekki nægar upplýsingar til að notandi geti gefið upplýst samþykki sitt. Hvergi í stefnu Maya telja þeir upp hvaða gögn þau deila eða hvaða samtök þau deila þeim með.

Þetta snýr sérstaklega að því að skoða tegund gagna sem Maya aflar, sem inniheldur upplýsingar um skap þitt, hvers konar getnaðarvörn þú notar, hvort þú stundar kynlíf og hvort þú notir vernd. Skýrsla Privacy International afhjúpaði óljósar stefnur og þá staðreynd að Maya deilir gögnum með nokkrum þriðja aðila, þar á meðal Facebook. Skýrslan var einnig lögð áhersla á egglos rekja spor einhvers MIA Fem. MIA Fem hafði jafn óljósar persónuverndarstefnur en hefur síðan uppfært hana til að endurspegla hvaða gögn fara til hvaða samstarfsaðila. Það er aðeins nýjasta heilsuforritið til að laga persónuverndarstefnu sína eftir að hafa lent í því að deila gögnum án þess að upplýsa notendur sína.

Flat eggjastokkaraforðið hætti að deila gögnum með Facebook eftir að Wall Street Journal saga afhjúpaði svipaða gögnum án samþykkis. (Eitt sem Flo, Maya og MIA Fem eiga sameiginlegt er að þau voru smíðuð með hugbúnaðarþróunarbúnað Facebook (SDK) sem gerir verktaki kleift að fella aðgerðir og láta Facebook safna notendagögnum svo það geti sýnt markvissar auglýsingar. SDK Facebook hefur verið kjarninn í mörgum öðrum brotum á persónuvernd.)

Villandi persónuverndarstefna

HealthEngine er vinsælt forrit í Ástralíu, notað af yfir 1,5 milljón manns til að skipuleggja stefnumót lækna. Nýleg rannsókn kom í ljós að appið miðlaði einkalæknisupplýsingum notenda sinna með lögfræðingum á staðnum vegna meiðsla án samþykkis þeirra.

Notendur voru spurðir hvort þeir hafi verið með í bílslysi eða orðið fyrir vinnutengdum meiðslum. Ef þeir svöruðu játandi tilkynnti appið lögfræðingum um meiðsli um smáatriði í heilsufarsvandamálum. Á engum tímapunkti voru notendur spurðir hvort þeir samþykktu að miðla gögnum sínum með lögfræðingum, né var minnst á að gögnum þeirra væri deilt með lögfræðingum í persónuverndarstefnu HealthEngine. Sú staðreynd að einkarekin læknisfræðileg gögn yrðu send lögmannsstofu kom aðeins í ljós í sérstakri „innheimtuyfirlýsingu.“ Eina leiðin sem notendur gátu afþakkað þessa samnýtingu gagna var að nota ekki forritið.

Í Bandaríkjunum eru heilsuforritin Cardiio og My Baby’s Beat og líkamsræktarforritið Runtastic neydd til að endurskoða persónuverndarstefnu sína eftir að dómsmálaráðherra New York sagðist deila upplýsingum með þriðja aðila án skýrs samþykkis.

Hvað þú ættir að gera til að vernda friðhelgi þína

Það kann að koma á óvart að það er jafnvel löglegt fyrir forrit að deila læknisfræðilegum upplýsingum fólks svo víða. En bandarísku heilbrigðisverndarlögin, HIPAA, eiga ekki við um upplýsingar sem viðskiptavinir safna til eigin nota. Þetta þýðir að í flestum tilfellum falla líkamsræktarforrit ekki undir reglugerðina.

Nýjar reglugerðir í Bandaríkjunum sem beinast sérstaklega að líkamsræktar- og heilsuforritum gætu hvatt verktaki til að vera ábyrgari gagnvart viðkvæmum gögnum en hingað til hafa ekki orðið neinar framfarir. Tilraun bandarískra öldungadeildarþingmanna til að koma í veg fyrir sölu einkarekinna heilsufarsupplýsinga til vátryggjenda, veðlánveitenda og atvinnurekenda hefur ekki leitt neitt.

GDPR ESB veitir þó nokkra vernd að því leyti að það þarfnast upplýsts og ótvíræðs samþykkis áður en hægt er að deila gögnum. Þetta er þröskuldur sem Maya brýtur líklega í ljósi þess að hún skráir ekki öll gögnin sem hún deilir eða hverjir fá gögnin í persónuverndarstefnu sinni. En þetta á aðeins við um einstaklinga sem búa í Evrópusambandinu.

Besta leiðin til að vera einkamál meðan þú notar líkamsræktarforrit eða heilsueftirlitsforrit er að taka málin í þínar eigin hendur.

Þetta eru mikilvægustu skrefin sem þú getur tekið til að vera örugg:

  1. Lestu persónuverndarstefnuna: Ef ekki er skýrt um hvaða gögn það deilir og hvaða samtök það deilir gögnum, gerðu ráð fyrir að öllum gögnum sem þú slærð inn í það forrit gæti verið deilt með hvaða fjölda óþekktra þriðja aðila sem er. Finndu annað forrit ef þú ert ekki ánægður með það.
  2. Athugaðu hvort það eru persónuverndarstillingar: Taktu þér tíma til að athuga persónuverndarstillingarnar. Það er gott að koma í veg fyrir að appið deilir gögnum þínum en einkalausnin er að koma í veg fyrir að það safni gögnum í fyrsta lagi.
  3. Takmarkaðu gögnin sem þú slærð inn í forritið: Mörg þessara forrita safna fleiri gögnum en nauðsyn er fyrir þau til að þjóna meginhlutverki sínu. Spurning hvort þú þarft að deila þessum gögnum til að nota appið. Til dæmis er engin ástæða að eggjastokkakennari þarf að vita hvort þú stundir óvarið kynlíf til að það virki.
  4. Ef þú ert í vafa skaltu spyrja: Ef þú ert ekki viss um hvernig líkamsræktarfyrirtæki hyggst nota gögnin þín skaltu senda þeim tölvupóst og spyrja. (Og ef þú gerir það, láttu okkur vita hvað þeir segja!)

Líkamsræktar- og heilsuforrit eru frábært verkfæri sem geta hjálpað þér til að halda þér í formi og fylgjast með framförum þínum. En þú ættir ekki að þurfa að stofna stafrænum heilsu þinni í hættu vegna líkamlegrar heilsu þinnar. Það er mikilvægt að vera meðvitaður um að forritin sem þú halar niður geta sett friðhelgi þína í hættu.

Bestu kveðjur,
ProtonVPN teymið

Uppfærsla 1. nóvember 2019: Google tilkynnti að það myndi kaupa Fitbit fyrir 2,1 milljarð dala. Þetta vekur möguleika á því að Google fái aðgang að heilsufarsgögnum Fitbit til að auglýsa en stjórnendur Google hafa sagt að svo verði ekki. Í tölvupósti til viðskiptavina skrifaði forstjóri Fitbit, „Við seljum aldrei persónulegar upplýsingar þínar og heilbrigðis- og vellíðunargögn Fitbit verða ekki notuð fyrir Google auglýsingar.“ Búist er við að gengið verði frá samningnum nokkurn tíma á næsta ári.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map