Treeningrakendused ohustavad teie privaatsust, see on põhjus, miks

Seda postitust värskendati 31. oktoobril 2019.


Tervise- ja terviserakendused on loodud selleks, et aidata teil registreerida ja kvantifitseerida, kui palju treenite, milliseid retseptiravimeid võtate, isegi milliseid rasestumisvastaseid meetodeid kasutate. Kuigi need rakendused võivad aidata teie tervist parandada, seavad nad ohtu ka teie privaatsuse. Halvimal juhul on nad seadnud inimesed füüsilisse ohtu, näiteks sörkijate koduste aadresside ja reaalajas asuva asukoha paljastamine.

Paljud neist rakendustest paljastavad tundlikku teavet või jagavad seda kümnete kolmandate osapooltega, sealhulgas Facebookiga, andmata kasutajatele privaatsuseeskirjades täielikke üksikasju. See teave võib sisaldada tundlikke asukohaandmeid, konfidentsiaalseid meditsiinilisi andmeid või isegi väga isiklikku teavet, näiteks kas te seksite kaitsmata või mitte.

Seda tüüpi rakenduste populaarsus on viimase viie aasta jooksul plahvatuslikult kasvanud. Ainuüksi Fitbitil oli 2018. aastal üle 27 miljoni kasutaja. Selle aasta alguses väitis Strava, et sellel on 42 miljonit kasutajat ja et ta lisab iga kuu miljoni kasutaja. Arvestades tundlikke andmeid, mida need rakendused koguvad, ja nende andmete nõrka kaitset, on need rakendused tõsine oht nende kasutajate privaatsusele.

Mida fitnessirakendused teist teavad

Enamikul fitnessirakendustel, nagu Fitbit, Strava, MapMyRun, Nike + Run ja Asics Runkeeper, kui nimetada vaid mõnda, on kaasaskantav seade, mis sünkroonib teie nutitelefoniga. See kantav seade võib koguda hulgaliselt teavet, sealhulgas tehtud sammude arvu, pulsi, kuhu ja millal reisite, kehakaalu ning ärkvel või magamise ajal.

Tervisejälgijad on tavaliselt rakendused, mille installite oma telefoni. Nad loodavad, et täidate andmete kogumiseks oma tervise kohta ankeete. Sõltuvalt sellest, mida rakendus sihib, võib see ulatuda tavaküsimustest teie tervise kohta (kas olete vigastatud?) Kuni küsimusteni üsna tundlikel teemadel (kas kasutate seksimise ajal kaitset?).

Neid andmeid võib rikkuda

Nagu kõigi teiste tegevusalade jaoks, on fitnessrakenduste tegijad kannatanud andmete rikkumise all. Rikkumine, mis tabas UnderArmouri MyFitnessPali 2018. aastal, on seni suurim. See paljastas enam kui 150 miljoni kasutaja kasutajanimed, paroolid ja e-posti aadressid. Ehkki häkkerid lähevad tavaliselt andmete järele, saavad nad hõlpsalt raha teenida (nagu teie krediitkaardinumber), kuid asukohateabe paljastamine on eriti tülikas. Arvestades, et sörkijad ja ratturid tavaliselt jooksevad ja sõidavad seal, kus nad elavad, võiksid ründajad tuvastada ka kasutaja elukoha, vaadates, kust enamik nende marsruute algas ja lõppes.

Üheski teises suuremas treenimis- ja terviserakenduses pole olulist andmerikkumist tekkinud. Kahjuks saab teha vaid vähe selleks, et rakendus saaks teie andmeid vastutustundlikult salvestada, lisaks andmete jagamisele usaldusväärsete ettevõtete ja organisatsioonidega.

Lisateave selle kohta, mida teha, kui olete andmerikkumise ohver.

Ülim andmekaevandus

Andmete jagamine on probleemi tuum. Fitnessirakenduste ettevõtteid motiveeritakse sageli jagama teie väärtuslikke reaalajas tervisealaseid andmeid kolmandate osapooltega, olgu nad reklaamijad, advokaadibürood või sellised sotsiaalsed võrgustikud nagu Facebook, kes saavad kasu teie tundlikust teabest. Kui kasutajad on teie andmete jagamise või privaatsusseadete kohandamise osas täiesti läbipaistvad, võivad kasutajad vähem usaldada rakendusi. Sellepärast on fitnessi- ja terviserakenduste tööstust siiani skandaalid tabanud.

Rakendusel andmete jagamiseks on palju mõjuvaid põhjuseid. See võib viia parema teenuseni, mida kasutaja soovib. Seda võidakse seadusega nõuda ka politseiuurimisel. Kuid rakenduste koostajad ei pea alati teie tundliku teabe privaatsust esmatähtsaks.

On kolm peamist viisi, kuidas fitness- ja terviserakendused teie andmeid kuritarvitavad:

  1. Nad paljastavad andmed automaatselt otse karbist välja. Kui kasutajad soovivad neid rakendusi kasutada ja oma privaatsust kaitsta, peavad nad värskendama rakenduse või nutitelefoni privaatsussätteid, mida vähesed kasutajad teevad.
  2. Nende privaatsuseeskirjad on ebamäärased. Privaatsuseeskirjad, mis ütlevad: „võime jagada teie teavet oma sponsorite ja / või äripartneritega” ei anna kasutajale piisavalt teavet teadliku otsuse tegemiseks.
  3. Nende privaatsuseeskirjad on eksitavad. Mõnel juhul ei avalda rakendused, kuidas andmeid nende privaatsuseeskirjades kasutatakse. Nad peidavad selle eraldi dokumendis või maskeerivad seda segase legali keeles. Teistel, väiksematel terviserakendustel ei pruugi olla privaatsuseeskirju.

Nõrgad privaatsusseaded

Esimese probleemi ehe näide on treenimisrakendus Strava ja selle Beacon funktsioon, mis reedab ratturite ja jooksjate asukoha reaalajas. See on teinud rakendusest varaste kullakaevanduse.

See toimib järgmiselt. Strava ühendab fitnessi jälgimise sotsiaalmeedia platvormiga, mis võimaldab selle kasutajatel konkureerida ja üksteisega suhelda. Strava toimimiseks on vaja juurdepääsu ja luba teie asukohaandmete jagamiseks. Samuti on sellel funktsioon “FlyBy”, mis võimaldab teil otsida teisi Strava kasutajaid, keda nägite või läbisite oma jooksu ajal.

Platvormile pääsemiseks või marsruutide otsimiseks ei pea te siiski olema Strava kasutaja. Kui marsruut on valitud, saate teada, kellele see kuulub, vaadata selle inimese profiili ja vaadata, kuhu nad tõenäoliselt veel sõidavad. Neid andmeid saab sageli kasutada inimeste kodude leidmiseks. See probleem esineb vähemal määral ka MapMyRuni, Nike + Runi ja kõigi rakenduste jaoks, mis jälgivad teie käitusid ja võimaldavad teil neid andmeid jagada.

Ehkki meedias fikseeriti sõjaväebaasid, kus sõdurite jooksuradadel oli näha Strava “HeatMap” funktsiooni, võis neid andmeid kasutada Strava kasutajate leidmiseks ja jälgimiseks.

Strava soojuskaardi andmete leke läks lihtsalt hullemaks:

– Andmeid saab anonüümseks muuta
– sisaldab kõrge turvalisusega sõjaväerajatistes viibivate inimeste nimesid ja jooksuteid
– Kiirotsing näitab 50 USA Afganistani baasis asuva personali nimesid
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29. jaanuar 2018

2014. aastal omistas korrakaitseamet Strava andmeid kasutades vargadele Suurbritannias jalgrattavarguste järsu tõusu. Sama juhtus jälle 2018. aastal.

„Ma ei usu, et paljud inimesed teadsid, et need kaardistamisrakendused võivad põhimõtteliselt anda potentsiaalsele vargale tohutul hulgal teavet. Nii et meil peavad olema inimesed, kes kontrollivad nende privaatsust, ”ütles 2018. aastal jalgrattavargusi uurinud politseiametnik Adam Lang.

Strava pakub privaatsuskontrolli. Kahjuks aktiveerib neid vähesed kasutajad ja teie kodu asukoha paljastamiseks kulub vaid mõni kord. Lisaks kahjustab mõnede privaatsusfunktsioonide, näiteks funktsiooni „FlyBy” keelamine, rakenduse kasutatavust.

Ebamäärased privaatsuseeskirjad

Ülaltoodud näide – “võime jagada teie teavet oma sponsorite ja / või äripartneritega” – ei ole hüpoteetiline. See pärineb ovulatsiooni jälgija Maya privaatsuspoliitikast, millel on väidetavalt üle kaheksa miljoni kasutaja kogu maailmas. See pole kasutaja informeeritud nõusoleku andmiseks piisav teave. Kusagil Maya poliitikas ei loetle nad seda, millist tüüpi andmeid nad jagavad või milliste organisatsioonidega nad seda jagavad.

See puudutab eriti seda, kui arvestada andmetega, mida Maya kogub, mis sisaldab teavet teie meeleolu, milliseid rasestumisvastaseid vahendeid kasutate, kas seksite ja kas kasutate kaitset. Privacy Internationali raport paljastas ebamäärase poliitika ja asjaolu, et Maya jagab andmeid mitme kolmanda osapoolega, sealhulgas Facebookiga. Aruandes tõsteti esile ka ovulatsiooni jälgijat MIA Fem. MIA Femil oli võrdselt ebamäärane privaatsuspoliitika, kuid on pärast seda seda värskendanud, et kajastada, millised andmed lähevad millistele partneritele. See on kõige uuem terviserakendus, mille abil saate oma privaatsuseeskirju kohandada pärast andmete jagamist püütud kasutajaid teavitamata.

Flo ovulatsiooni jälgimisrakendus lõpetas andmete jagamise Facebookiga pärast seda, kui Wall Street Journali lugu paljastas sarnase andmete jagamise ilma nõusolekuta. (Üks asi, mis Flo, Maya ja MIA Femil ühist on, on see, et need ehitati koos Facebooki tarkvaraarenduskomplektiga (SDK), mis võimaldab arendajatel funktsioone lisada ja laseb Facebookil koguda kasutaja andmeid, et see saaks sihitud reklaame näidata. Facebooki SDK on olnud paljude muude privaatsuse rikkumiste keskmes.)

Eksitavad privaatsuseeskirjad

HealthEngine on Austraalias populaarne rakendus, mida kasutab üle 1,5 miljoni inimese arsti kohtumiste kavandamiseks. Hiljutise uurimise käigus leiti, et rakendus jagas oma kasutajate isiklikku meditsiiniteavet kohalike vigastuseadvokaatidega ilma nende nõusolekuta.

Kasutajatelt küsiti, kas nad olid sattunud autoõnnetusse või saanud tööga seotud vigastusi. Kui nad vastasid jaatavalt, teatas rakendus vigastuseadvokaatidele nende terviseprobleemide üksikasjadest. Ühelgi hetkel ei küsitud kasutajatelt, kas nad nõustuvad oma andmete jagamisega juristidega, ega HealthEngine’i privaatsuseeskirjades mainitud, et nende andmeid jagataks juristidega. Fakt, et nende isiklikke meditsiinilisi andmeid saadetakse advokaadibüroole, selgus alles eraldi kogumisavalduses. Ainus viis, kuidas kasutajad said sellest andmete jagamisest loobuda, oli rakenduse mittekasutamine.

USA-s on terviserakendused Cardiio ja My Baby’s Beat ning fitnessirakendus Runtastic sunnitud oma privaatsuseeskirjad läbi vaatama pärast seda, kui New Yorgi peaprokurör ütles, et nad jagavad andmeid ilma selge nõusolekuta kolmandate osapooltega..

Mida peaksite oma privaatsuse kaitsmiseks tegema

Võib olla üllatav, et on isegi seaduslik, kui rakendused jagavad inimeste meditsiinilist teavet nii laialt. Kuid USA tervise privaatsuse seadust HIPAA ei kohaldata teabe suhtes, mida kliendid koguvad oma tarbeks. See tähendab, et enamikul juhtudel ei kuulu fitnessirakendused määruse reguleerimisalasse.

USA uued eeskirjad, mis on suunatud spetsiaalselt treenimis- ja terviserakendustele, võivad julgustada arendajaid tundlike andmetega vastutustundlikumalt tegutsema, kuid siiani pole edusamme tehtud. USA senaatorite jõupingutused eraviisiliste terviseandmete müügi tõkestamiseks kindlustusandjatele, hüpoteeklaenuandjatele ja tööandjatele pole kuhugi viinud..

ELi GDPR pakub teatavat kaitset, kuna enne andmete jagamist on vaja teadlikku ja ühemõttelist nõusolekut. See on lävi, mida Maja võib tõenäoliselt ületada, arvestades, et ta ei loetle oma privaatsuseeskirjades kõiki andmeid, mida ta jagab või kes andmeid vastu võtab. Kuid see kehtib ainult Euroopa Liidus elavate inimeste kohta.

Parim viis treenimise jälgimise või tervise jälgimise rakenduste kasutamise ajal privaatseks jääda on asjade enda kätesse võtmine.

Need on kõige olulisemad sammud, mida saate turvalisuse tagamiseks teha:

  1. Lugege privaatsuseeskirju: Kui pole täpsustatud, milliseid andmeid ta jagab ja milliste organisatsioonidega ta andmeid jagab, siis eeldage, et kõiki sellesse rakendusse sisestatud andmeid saate jagada suvalise arvu tundmatute kolmandate osapooltega. Kui see pole teile meelepärane, leidke teine ​​rakendus.
  2. Kontrollige, kas on privaatsusseadeid: Võtke aega privaatsusseadete kontrollimiseks. Rakenduse andmete jagamise takistamine on hea, kuid kõige privaatsem lahendus on takistada sellel andmete kogumist.
  3. Piirake rakenduses sisestatud andmeid: Paljud neist rakendustest koguvad rohkem andmeid, kui on vaja nende põhifunktsiooni täitmiseks. Küsimus, kas peate rakenduse kasutamiseks neid andmeid jagama. Näiteks pole ovulatsiooni jälgijal põhjust teada saada, kas teil on kaitsmata sugu, et see toimiks.
  4. Kahtluse korral küsige: Kui te pole kindel, kuidas fitnessirakenduse ettevõte teie andmeid kasutada kavatseb, saatke neile meilisõnum ja küsige. (Ja kui te seda teete, siis andke meile teada, mida nad ütlevad!)

Fitness- ja terviserakendused on suurepärased tööriistad, mis võivad motiveerida teid püsima vormis ja jälgima oma edusamme. Kuid te ei peaks oma füüsilise tervise huvides oma digitaalset tervist ohtu seadma. Oluline on teada, et allalaaditavad rakendused võivad teie privaatsuse ohtu seada.

Parimate soovidega,
ProtonVPN meeskond

UPDATE 1. november 2019: Google teatas, et ostab Fitbiti 2,1 miljardi dollari eest. See suurendab võimalust, et Google pääseb reklaamimiseks juurde Fitbiti terviseandmetele, kuid Google’i juhid on öelnud, et see pole nii. Fitbiti tegevjuht kirjutas klientidele saadetud meilis: “Me ei müü kunagi teie isiklikku teavet ja Fitbiti tervise ja heaolu andmeid Google’i reklaamide jaoks ei kasutata.” Eeldatakse, et tehing saab lõpule järgmisel aastal.

Twitter | Facebook | Reddit | Instagram

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me