Fitnessapps er en risiko for dit privatliv, her er hvorfor

Dette indlæg blev opdateret 31. oktober 2019.


Fitness- og sundhedsapps er designet til at hjælpe dig med at registrere og kvantificere, hvor meget du træner, hvilke receptpligtige lægemidler du tager, endda hvilke fødselsbekæmpelsesmetoder, du bruger. Selvom disse apps kan hjælpe med at forbedre dit helbred, kan de også sætte dit privatliv i fare. I de værste tilfælde har de sat folk i fysisk fare, som at afsløre joggers hjemmeadresser og realtidsplacering.

Mange af disse apps udsætter følsomme oplysninger eller deler dem med snesevis af tredjepart, inklusive Facebook, uden at give brugerne de fulde detaljer i deres privatlivspolitik. Disse oplysninger kan omfatte følsomme lokalitetsdata, fortrolige medicinske data eller endda meget personlige oplysninger, som om du har ubeskyttet sex eller ej.

Disse typer apps er eksploderet i popularitet i løbet af de sidste fem år. I 2018 havde Fitbit alene over 27 millioner brugere. Tidligere i år hævdede Strava, at den havde 42 millioner brugere – og at den tilføjede en million brugere hver måned. I betragtning af de følsomme data, disse apps indsamler, og deres dårlige registrering af at beskytte disse data, udgør disse apps en betydelig trussel mod deres brugers privatliv.

Hvad fitness-apps ved om dig

De fleste fitness-apps som Fitbit, Strava, MapMyRun, Nike + Run og Asics Runkeeper, bare for at nævne nogle få, har en bærbar enhed, der synkroniseres med din smartphone. Den bærbare enhed kan indsamle en masse oplysninger, herunder antallet af trin, du tager, din hjertefrekvens, hvor du rejser og hvornår, din vægt, og når du er vågen eller sover.

Health trackers er generelt applikationer, som du installerer på din telefon. De stoler på dig til at udfylde formularer om dit helbred til dataindsamling. Afhængigt af hvad appen er målrettet mod, kan det spænde fra standardspørgsmål om dit helbred (Er du såret?) Til spørgsmål om temmelig følsomme emner (Bruger du beskyttelse, når du har sex?).

Disse data kan overtrædes

Fabrikanter af fitness-apper, ligesom alle andre brancher, har lidt dataovertrædelser. Overtrædelsen, der ramte UnderArmours MyFitnessPal i 2018, er den største til dato. Den afslørede brugernavne, adgangskoder og e-mail-adresser for mere end 150 millioner brugere. Mens hackere typisk går efter data, kan de let tjene penge (som dit kreditkortnummer), er tanken om, at placeringsdata blev udsat, særligt besværlig. I betragtning af at joggere og cyklister generelt løber og kører, hvor de bor, kunne angribere også identificere, hvor brugeren boede ved at se på, hvor størstedelen af ​​deres ruter begyndte og sluttede.

Ingen af ​​de andre større fitness- og sundhedsapps har været udsat for en større dataforbrud. Desværre er der ikke meget, du kan gøre for at sikre, at en app lagrer dine data ansvarligt udover kun at dele data med virksomheder og organisationer, du har tillid til.

Lær mere om, hvad du skal gøre, hvis du er offer for en dataovertrædelse.

Den ultimative datamine

Datadeling er kernen i problemet. Fitness app-virksomheder er ofte incitamenteret til at dele dine værdifulde realtidsundersøgelsesdata med tredjepart, uanset om det er annoncører, advokatfirmaer eller sociale netværk som Facebook, der drager fordel af dine følsomme oplysninger. Hvis de var fuldt gennemsigtige om, hvordan dine data blev delt, eller hvordan man justerer dine privatlivsindstillinger, er det måske mindre sandsynligt, at brugere har tillid til apps. Det er derfor, til dags dato, fitness-og sundheds-app-industrien er blevet dogged af skandaler.

Der er mange gyldige grunde til, at en app deler data. Det kan føre til bedre service, som brugeren ønsker. Det kan også kræves ved lov til politiets efterforskning. Men app-producenter behandler ikke altid privatlivets fred for dine følsomme oplysninger som en højeste prioritet.

Der er tre hovedmåder, hvor fitness- og sundhedsapps misbruger dine data:

  1. De udsætter automatisk data lige ud af boksen. Hvis brugere vil bruge disse apps og beskytte deres privatliv, skal de opdatere indstillingerne for beskyttelse af personlige oplysninger i appen eller på deres smartphone, hvilket få brugere gør.
  2. Deres privatlivspolitik er vag. En privatlivspolitik, der siger, ”Vi deler muligvis dine oplysninger med vores sponsorer og / eller forretningspartnere,” giver ikke brugeren tilstrækkelig information til at tage en informeret beslutning.
  3. Deres privatlivspolitik er vildledende. I nogle tilfælde afslører apps ikke, hvordan dataene bruges i deres privatlivspolitik. De skjuler det i et separat dokument eller forklæd det ved at forvirre legaliser. Andre, mindre sundhedsapps har muligvis ikke en privatlivspolitik.

Svage standardindstillinger for privatlivets fred

Et godt eksempel på det første problem er fitness-appen Strava og dens Beacon-funktion, der forråder cyklister og løbere i realtid. Dette har gjort appen til en guldmine for tyve.

Sådan fungerer det. Strava kombinerer fitness tracking med en social media platform, der giver brugerne mulighed for at konkurrere og interagere med hinanden. For at Strava skal fungere, har det brug for adgang og tilladelse til at dele dine placeringsdata. Det har også en “FlyBy” -funktion, som giver dig mulighed for at slå andre Strava-brugere op, du har set eller passeret, mens du er på dit løb.

Du behøver dog ikke være Strava-bruger for at få adgang til platformen eller slå ruter op. Når en rute er valgt, kan du finde ud af, hvem den tilhører, se på den enkeltes profil og se, hvor ellers de sandsynligvis vil køre. Disse data kan ofte bruges til at lokalisere folks hjem. Dette problem er også til stede i mindre grad for MapMyRun, Nike + Run og enhver app, der sporer dine kørsler og lader dig dele disse data.

Mens medierne fikserede på militærbaser, der blev udsat for soldaters jogtruter med Stravas funktion “HeatMap”, kunne disse data bruges til at finde og følge enhver Strava-bruger.

Strava-varmekortets datalækage blev lige meget værre:

– Dataene kan de-anonymiseres
– Inkluderer navne og køreruter på mennesker på militære faciliteter med høj sikkerhed
– En hurtig søgning viser navnene på 50 amerikanske personale ved en base i Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29. januar 2018

I 2014 tilskrev retshåndhævelse en kraftig stigning i cykeltyverier i Storbritannien til tyve ved hjælp af Strava-data. Den samme ting skete igen i 2018.

”Jeg tror ikke, at mange mennesker var opmærksomme på, at disse kortlægningsapps stort set kan give en enorm mængde information til en dygtig tyv. Så vi er nødt til at få folk til at kontrollere deres privatliv, ”sagde Adam Lang, en politibetjent, der kiggede på cykeltyverierne i 2018.

Strava leveres med privatlivskontrol. Desværre aktiverer få brugere dem, og det tager kun et par kørsler at afsløre placeringen af ​​dit hjem. Desuden undergraver aktiveringen af ​​appens brugervenlighed, f.eks. Deaktivering af “FlyBy” -funktionen..

Vage privatlivspolitikker

Eksemplet ovenfor – “Vi deler muligvis dine oplysninger med vores sponsorer og / eller forretningspartnere” – er ikke en hypotetisk. Det kommer fra privatlivspolitikken for ægløsningssporeren Maya, der hævder at have mere end otte millioner brugere over hele verden. Dette er ikke tilstrækkelig information for en bruger til at give deres informerede samtykke. Intetsteds i Mayas politik angiver de den type data, de deler, eller hvilke organisationer de deler dem med.

Dette vedrører især den type data, Maya indsamler, og som indeholder oplysninger om dit humør, hvilken form for prævention du bruger, om du holder på med sex, og om du bruger beskyttelse. En rapport fra Privacy International afslørede den vage politik og det faktum, at Maya deler data med flere tredjepart, herunder Facebook. Rapporten fremhævede også ægløsningsporingen MIA Fem. MIA Fem havde en lige så vag fortrolighedspolitik, men har siden opdateret den for at afspejle, hvilke data der går til hvilke partnere. Det er bare den seneste sundhedsapp til at justere sin privatlivspolitik efter at have været fanget med at dele data uden at informere brugerne.

Flo ovulation tracker-appen stoppede med at dele data med Facebook, efter at en Wall Street Journal-historie afslørede lignende datadeling uden samtykke. (En ting, Flo, Maya og MIA Fem har til fælles, er, at de blev bygget med Facebooks Software Development Kit (SDK), som lader udviklere integrere funktioner og lader Facebook indsamle brugerdata, så det kan vise målrettede annoncer. Facebooks SDK er blevet i hjertet af mange andre krænkelser af privatlivets fred.)

Vildledende privatlivspolitikker

HealthEngine er en populær app i Australien, der bruges af over 1,5 millioner mennesker til at planlægge lægeudnævnelser. En nylig undersøgelse fandt, at appen delte brugernes private medicinske oplysninger med lokale skadesadvokater uden deres samtykke.

Brugere blev spurgt, om de havde været involveret i en bilulykke eller lidt en arbejdsrelateret skade. Hvis de svarede ja, underrettede appen skadesadvokater om detaljerne i deres helbredsproblemer. På intet tidspunkt blev brugere spurgt, om de gik med til at dele deres data med advokater, og der blev heller ikke nævnt nogen af ​​deres data, der blev delt med advokater i HealthEngines privatlivspolitik. At deres private medicinske data ville blive sendt til et advokatfirma, blev kun afsløret i en separat “Indsamlingserklæring”. Den eneste måde, brugere kunne fravælge denne datadeling, var at ikke bruge appen.

I USA tvinges sundhedsapps Cardiio og My Baby’s Beat og fitness-appen Runtastic til at revidere deres privatlivspolitik, efter at generaldirektøren for New York sagde, at de delte data med tredjepart uden klart samtykke.

Hvad du skal gøre for at beskytte dit privatliv

Det kan være overraskende, at det endda er lovligt for apps at dele folks medicinske oplysninger så vidt. Men den amerikanske sundhedslovgivning, HIPAA, finder ikke anvendelse på oplysninger, som kunderne indsamler til deres eget brug. Det betyder, at fitnessapps i de fleste tilfælde ikke falder ind under forordningen.

Nye reguleringer i USA, der specifikt er målrettet mod fitness- og sundhedsapps, kunne tilskynde udviklere til at være mere ansvarlige med følsomme data, men indtil videre har der ikke været nogen fremskridt. Amerikanske senators indsats for at forhindre salg af private sundhedsoplysninger til forsikringsselskaber, pantelångivere og arbejdsgivere har ikke ført nogen steder.

EU’s GDPR yder en vis beskyttelse, idet den kræver informeret og utvetydigt samtykke, før data kan deles. Dette er en tærskel, som Maya sandsynligvis krænker, i betragtning af at den ikke viser alle de data, den deler, eller som modtager dataene i dets privatlivspolitik. Men dette gælder kun personer, der bor i Den Europæiske Union.

Den bedste måde at forblive privat på mens du bruger fitness tracking eller sundhedsovervågning apps er at tage sagerne i dine egne hænder.

Dette er de vigtigste trin, du kan tage for at forblive i sikkerhed:

  1. Læs privatlivspolitikken: Hvis det ikke er eksplicit om, hvilke data den deler, og hvilke organisationer de deler data med, skal du antage, at alle de data, du indtaster i den app, kunne deles med et hvilket som helst antal ukendte tredjeparter. Hvis du ikke er tilpas med det, skal du finde en anden app.
  2. Kontroller, om der er indstillinger for beskyttelse af personlige oplysninger: Tag dig tid til at kontrollere indstillingerne for beskyttelse af personlige oplysninger. Det er godt at forhindre, at appen deler dine data, men den mest private løsning er at forhindre, at den indsamler data i første omgang.
  3. Begræns de data, du indtaster i appen: Mange af disse apps indsamler flere data, end det er nødvendigt for dem at tjene deres kernefunktion. Spørgsmål om du skal dele disse data for at bruge appen. For eksempel er der ingen grund til, at en ægløsningspor har brug for at vide, om du har ubeskyttet sex for, at den kan fungere.
  4. I tvivl, spørg: Hvis du ikke er sikker på, hvordan et fitness-appfirma planlægger at bruge dine data, så send dem en e-mail og spørg. (Og hvis du gør det, så lad os vide, hvad de siger!)

Fitness- og sundhedsapps er gode værktøjer, der kan hjælpe med at motivere dig til at holde dig i form og spore dine fremskridt. Men du skulle ikke være nødt til at bringe din digitale sundhed i fare for din fysiske helbreds skyld. Det er vigtigt at være opmærksom på, at de apps, du downloader, kan sætte dit privatliv i fare.

Med venlig hilsen,
ProtonVPN-teamet

OPDATERING 1. november 2019: Google annoncerede, at det ville købe Fitbit for 2,1 milliarder dollars. Dette øger muligheden for, at Google får adgang til Fitbit’s sundhedsdata til reklame, men Google-ledere har sagt, at dette ikke vil være tilfældet. I en e-mail til kunderne skrev Fitbit’s CEO: “Vi sælger aldrig dine personlige oplysninger, og Fitbit-sundheds- og wellness-data bruges ikke til Google-annoncer.” Handlen forventes afsluttet et stykke tid næste år.

Twitter | Facebook | Reddit | Instagram

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me