Aplikasi kecergasan adalah risiko untuk privasi anda, inilah sebabnya

Catatan ini dikemas kini pada 31 Oktober 2019.


Aplikasi kecergasan dan kesihatan direka untuk membantu anda merakam dan mengukur berapa banyak anda bersenam, ubat preskripsi yang anda ambil, bahkan kaedah kawalan kelahiran yang anda gunakan. Walaupun aplikasi ini dapat membantu meningkatkan kesihatan anda, aplikasi ini juga dapat membahayakan privasi anda. Dalam keadaan terburuk, mereka membahayakan orang, seperti mendedahkan alamat rumah pelari dan lokasi masa nyata.

Sebilangan besar aplikasi ini mendedahkan maklumat sensitif atau membagikannya dengan puluhan pihak ketiga, termasuk Facebook, tanpa memberi pengguna maklumat lengkap dalam dasar privasi mereka. Maklumat ini boleh merangkumi data lokasi sensitif, data perubatan sulit, atau bahkan maklumat yang sangat peribadi, seperti sama ada anda melakukan hubungan seks tanpa perlindungan atau tidak.

Jenis aplikasi ini telah meletup populariti sejak lima tahun kebelakangan ini. Pada tahun 2018, Fitbit sahaja mempunyai lebih daripada 27 juta pengguna. Awal tahun ini, Strava mendakwa ia memiliki 42 juta pengguna — dan menambah satu juta pengguna setiap bulan. Memandangkan data sensitif yang dikumpulkan oleh aplikasi ini dan rekod mereka yang lemah dalam melindungi data ini, aplikasi ini menimbulkan ancaman besar terhadap privasi pengguna mereka.

Apa yang diketahui oleh aplikasi kecergasan tentang anda

Sebilangan besar aplikasi kecergasan, seperti Fitbit, Strava, MapMyRun, Nike + Run, dan Asics Runkeeper, hanya untuk beberapa nama, mempunyai peranti yang boleh dipakai yang diselaraskan dengan telefon pintar anda. Peranti yang boleh dipakai itu dapat mengumpulkan banyak maklumat, termasuk jumlah langkah yang anda ambil, degup jantung anda, di mana anda melakukan perjalanan dan kapan, berat badan anda, dan ketika anda terjaga atau tidur.

Penjejak kesihatan secara amnya adalah aplikasi yang anda pasang pada telefon anda. Mereka bergantung pada anda untuk mengisi borang mengenai kesihatan anda untuk pengumpulan data. Bergantung pada apa yang disasarkan oleh aplikasinya, ia boleh terdiri dari pertanyaan standard mengenai kesihatan anda (Adakah anda cedera?) Hingga soalan mengenai topik yang cukup sensitif (Adakah anda menggunakan perlindungan ketika melakukan hubungan seks?).

Data ini boleh dilanggar

Pembuat aplikasi kecergasan, sama seperti industri lain, mengalami pelanggaran data. Pelanggaran yang melanda UnderArmour’s MyFitnessPal pada tahun 2018 adalah yang terbesar setakat ini. Ini memperlihatkan nama pengguna, kata laluan, dan alamat e-mel lebih dari 150 juta pengguna. Walaupun penggodam biasanya mencari data, mereka dapat mengewangkan dengan mudah (seperti nombor kad kredit anda), pemikiran bahawa data lokasi terdedah sangat menyusahkan. Memandangkan jogger dan pengendara basikal umumnya berlari dan menunggang di mana mereka tinggal, penyerang juga dapat mengenal pasti tempat tinggal pengguna dengan melihat di mana sebahagian besar laluan mereka bermula dan berakhir.

Tidak ada aplikasi kecergasan dan kesihatan utama lain yang mengalami pelanggaran data besar. Malangnya, ada sedikit yang dapat anda lakukan untuk memastikan aplikasi menyimpan data anda dengan bertanggungjawab selain hanya berkongsi data dengan syarikat dan organisasi yang anda percayai.

Ketahui lebih lanjut mengenai apa yang harus dilakukan sekiranya anda menjadi mangsa pelanggaran data.

Tambang data utama

Perkongsian data adalah inti masalah. Syarikat aplikasi kecergasan sering diberi insentif untuk berkongsi data kesihatan masa nyata anda yang berharga dengan pihak ketiga, sama ada pengiklan, firma undang-undang, atau rangkaian sosial seperti Facebook yang mendapat keuntungan daripada maklumat sensitif anda. Sekiranya mereka benar-benar telus mengenai bagaimana data anda dibagikan atau bagaimana menyesuaikan tetapan privasi anda, pengguna mungkin kurang mempercayai aplikasinya. Itulah sebabnya, hingga kini, industri aplikasi kecergasan dan kesihatan dikuasai oleh skandal.

Terdapat banyak sebab yang sah untuk aplikasi berkongsi data. Ia boleh menghasilkan perkhidmatan yang lebih baik yang dikehendaki pengguna. Ia juga boleh diwajibkan oleh undang-undang untuk penyiasatan polis. Tetapi pembuat aplikasi tidak selalu menganggap privasi maklumat sensitif anda sebagai keutamaan.

Terdapat tiga cara utama aplikasi kecergasan dan kesihatan menyalahgunakan data anda:

  1. Mereka secara automatik mendedahkan data secara langsung. Sekiranya pengguna ingin menggunakan aplikasi ini dan menjaga privasi mereka, mereka mesti mengemas kini tetapan privasi dalam aplikasi atau pada telefon pintar mereka, yang hanya dilakukan oleh beberapa pengguna.
  2. Dasar privasi mereka tidak jelas. Dasar privasi yang menyatakan, “Kami dapat berkongsi maklumat anda dengan penaja kami, dan / atau rakan niaga,” tidak memberikan pengguna maklumat yang cukup untuk membuat keputusan yang tepat.
  3. Dasar privasi mereka mengelirukan. Dalam beberapa keadaan, aplikasi tidak mendedahkan bagaimana data digunakan dalam kebijakan privasi mereka. Mereka menyembunyikannya dalam dokumen yang berasingan atau menyamarkannya sehingga membingungkan ahli legal. Aplikasi kesihatan lain yang lebih kecil mungkin sama sekali tidak mempunyai dasar privasi.

Tetapan privasi lalai yang lemah

Contoh utama masalah pertama adalah aplikasi kecergasan Strava dan ciri Beaconnya, yang mengkhianati lokasi sebenar pengendara basikal dan pelari. Ini telah menjadikan aplikasi itu lombong emas untuk pencuri.

Inilah cara ia berfungsi. Strava menggabungkan penjejakan kecergasan dengan platform media sosial yang membolehkan penggunanya bersaing dan berinteraksi antara satu sama lain. Agar Strava berfungsi, ia memerlukan akses dan izin untuk berkongsi data lokasi anda. Ia juga mempunyai fitur “FlyBy”, yang memungkinkan anda mencari pengguna Strava lain yang anda lihat atau lalui semasa dalam perjalanan anda.

Namun, anda tidak perlu menjadi pengguna Strava untuk mengakses platform atau mencari jalan. Setelah laluan dipilih, anda dapat mengetahui siapa yang menjadi miliknya, melihat profil individu itu, dan melihat tempat lain yang kemungkinan mereka jalani. Data ini sering dapat digunakan untuk mencari rumah orang. Masalah ini juga hadir pada tahap yang lebih rendah untuk MapMyRun, Nike + Run, dan mana-mana aplikasi yang melacak larian anda dan membolehkan anda berkongsi data tersebut.

Walaupun media terpusat di pangkalan tentera yang terdedah oleh laluan joging tentera dengan ciri “HeatMap” Strava, data ini dapat digunakan untuk mencari dan mengikuti mana-mana pengguna Strava.

Kebocoran data peta haba Strava semakin teruk:

– Data tidak boleh dinamakan
– Termasuk nama dan laluan orang yang berada di kemudahan tentera keselamatan tinggi
– Pencarian pantas menunjukkan nama 50 anggota AS di sebuah pangkalan di Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 Januari 2018

Pada tahun 2014, penguatkuasaan undang-undang mengaitkan peningkatan kecurian basikal di UK kepada pencuri yang menggunakan data Strava. Perkara yang sama berlaku lagi pada tahun 2018.

“Saya tidak fikir banyak orang menyedari bahawa aplikasi pemetaan ini pada dasarnya dapat memberikan sejumlah besar maklumat kepada calon pencuri. Oleh itu, kita perlu meminta orang ramai memeriksa privasi mereka, “kata Adam Lang, seorang pegawai polis yang melihat kecurian basikal pada tahun 2018.

Strava dilengkapi dengan kawalan privasi. Malangnya, hanya sedikit pengguna yang mengaktifkannya, dan hanya memerlukan beberapa larian untuk mendedahkan lokasi rumah anda. Selain itu, mengaktifkan beberapa ciri privasi, seperti mematikan ciri “FlyBy”, menjejaskan kebolehgunaan aplikasi.

Dasar privasi yang tidak jelas

Contoh di atas – “Kami mungkin berkongsi maklumat anda dengan penaja kami, dan / atau rakan niaga” – bukanlah hipotesis. Ini berasal dari dasar privasi pelacak ovulasi Maya, yang mendakwa mempunyai lebih daripada lapan juta pengguna di seluruh dunia. Maklumat ini tidak mencukupi untuk pengguna memberikan persetujuan mereka. Di mana pun dalam dasar Maya, mereka menyenaraikan jenis data yang mereka kongsi atau organisasi mana yang mereka bagikan.

Ini terutama berkaitan dengan mempertimbangkan jenis data yang dikumpulkan oleh Maya, yang merangkumi maklumat mengenai mood anda, jenis kontrasepsi yang anda gunakan, sama ada anda melakukan hubungan seks, dan sama ada anda menggunakan perlindungan. Laporan oleh Privacy International mendedahkan dasar yang tidak jelas dan fakta bahawa Maya berkongsi data dengan beberapa pihak ketiga, termasuk Facebook. Laporan itu juga menekankan pengesan ovulasi MIA Fem. MIA Fem mempunyai dasar privasi yang sama samar-samar tetapi sejak itu mengemaskinikannya untuk mencerminkan data apa yang dihantar kepada rakan kongsi mana. Ini hanya aplikasi kesihatan terkini untuk menyesuaikan kebijakan privasinya setelah terperangkap berkongsi data tanpa memberitahu penggunanya.

Aplikasi pelacak ovulasi Flo berhenti berkongsi data dengan Facebook setelah cerita Wall Street Journal mendedahkan perkongsian data serupa tanpa persetujuan. (Satu hal yang dimiliki oleh Flo, Maya, dan MIA Fem adalah mereka dibina dengan Kit Pengembangan Perisian (SDK) Facebook, yang memungkinkan pembangun menggabungkan ciri dan membiarkan Facebook mengumpulkan data pengguna sehingga dapat menunjukkan iklan yang disasarkan. SDK Facebook telah di tengah-tengah banyak pelanggaran privasi yang lain.)

Dasar privasi yang mengelirukan

HealthEngine adalah aplikasi yang popular di Australia, digunakan oleh lebih daripada 1.5 juta orang untuk menjadualkan temu janji doktor. Siasatan baru-baru ini mendapati bahawa aplikasi itu berkongsi maklumat perubatan peribadi penggunanya dengan peguam kecederaan tempatan tanpa persetujuan mereka.

Pengguna ditanya sama ada mereka terlibat dalam kemalangan kereta atau mengalami kecederaan yang berkaitan dengan pekerjaan. Sekiranya mereka menjawab ya, aplikasi memberitahu pemberitahuan kecederaan peguam mengenai perincian masalah kesihatan mereka. Pada titik mana pengguna ditanya apakah mereka setuju untuk membagikan data mereka dengan pengacara, atau tidak ada sebutan mengenai data mereka yang dikongsi dengan peguam dalam kebijakan privasi HealthEngine. Fakta bahawa data perubatan peribadi mereka akan dikirim ke firma undang-undang hanya dinyatakan dalam “Pernyataan Pengumpulan” yang terpisah. Satu-satunya cara pengguna boleh memilih untuk tidak menggunakan perkongsian data ini adalah dengan tidak menggunakan aplikasi.

Di AS, aplikasi kesihatan Cardiio dan My Baby’s Beat dan aplikasi kecergasan Runtastic dipaksa untuk menyemak semula dasar privasi mereka setelah Peguam Negara New York mengatakan bahawa mereka berkongsi data dengan pihak ketiga tanpa persetujuan yang jelas.

Apa yang harus anda lakukan untuk melindungi privasi anda

Mungkin mengejutkan bahawa aplikasi boleh berkongsi maklumat perubatan orang dengan meluas. Tetapi undang-undang privasi kesihatan AS, HIPAA, tidak berlaku untuk maklumat yang dikumpulkan oleh pelanggan untuk kegunaan mereka sendiri. Ini bermaksud, dalam kebanyakan kes, aplikasi kecergasan tidak termasuk dalam peraturan.

Peraturan baru di AS yang secara khusus menyasarkan aplikasi kecergasan dan kesihatan dapat mendorong pemaju untuk lebih bertanggungjawab dengan data sensitif, tetapi sejauh ini belum ada kemajuan. Usaha oleh senator AS untuk mencegah penjualan data kesihatan swasta kepada penanggung insurans, pemberi pinjaman gadai janji, dan majikan tidak membawa ke mana pun.

GDPR EU memang memberikan perlindungan kerana memerlukan persetujuan yang tepat dan jelas sebelum data dapat dikongsi. Ini adalah ambang yang mungkin dilanggar oleh Maya, memandangkan ia tidak menyenaraikan semua data yang dibagikannya atau yang menerima data tersebut dalam kebijakan privasinya. Tetapi ini hanya berlaku untuk individu yang tinggal di Kesatuan Eropah.

Cara terbaik untuk tetap bersendirian semasa menggunakan aplikasi penjejakan kecergasan atau pemantauan kesihatan adalah dengan mengambil alih masalah dengan tangan anda sendiri.

Ini adalah langkah terpenting yang boleh anda lakukan untuk tetap selamat:

  1. Baca dasar privasi: Sekiranya tidak jelas mengenai data apa yang dibagikannya dan organisasi mana ia membagikan data, anggaplah bahawa semua data yang anda masukkan ke dalam aplikasi tersebut dapat dibagikan dengan sejumlah pihak ketiga yang tidak diketahui. Sekiranya anda tidak selesa dengan itu, cari aplikasi lain.
  2. Periksa sama ada terdapat tetapan privasi: Luangkan masa untuk memeriksa tetapan privasi. Mencegah aplikasi daripada berkongsi data anda adalah baik, tetapi penyelesaian yang paling peribadi adalah menghalangnya daripada mengumpulkan data terlebih dahulu.
  3. Hadkan data yang anda masukkan dalam aplikasi: Sebilangan besar aplikasi ini mengumpulkan lebih banyak data daripada yang diperlukan untuk menjalankan fungsi teras mereka. Tanya adakah anda perlu berkongsi data tersebut untuk menggunakan aplikasinya. Sebagai contoh, tidak ada sebab pelacak ovulasi perlu mengetahui jika anda melakukan hubungan seks tanpa perlindungan agar ia berfungsi.
  4. Sekiranya ragu-ragu, tanyakan: Sekiranya anda tidak pasti bagaimana syarikat aplikasi kecergasan merancang untuk menggunakan data anda, hantarkan e-mel dan tanyakan kepada mereka. (Dan jika anda melakukannya, beritahu kami apa yang mereka katakan!)

Aplikasi kecergasan dan kesihatan adalah alat hebat yang dapat membantu memotivasi anda untuk tetap cergas dan mengesan kemajuan anda. Tetapi anda tidak semestinya membahayakan kesihatan digital anda demi kesihatan fizikal anda. Penting untuk diketahui bahawa aplikasi yang anda muat turun boleh membahayakan privasi anda.

Selamat sejahtera,
Pasukan ProtonVPN

KEMASKINI 1 Nov 2019: Google mengumumkan bahawa ia akan membeli Fitbit dengan harga $ 2.1 bilion. Ini meningkatkan kemungkinan Google mengakses data kesihatan Fitbit untuk iklan, tetapi eksekutif Google mengatakan ini tidak akan berlaku. Dalam e-mel kepada pelanggan, CEO Fitbit menulis, “Kami tidak pernah menjual maklumat peribadi anda, dan data kesihatan dan kesihatan Fitbit tidak akan digunakan untuk iklan Google.” Perjanjian itu dijangka dimuktamadkan pada tahun depan.

Twitter | Facebook | Reddit | Instagram

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me