Studiu: majoritatea aplicațiilor de sănătate colectează mai multe date decât este nevoie


Majoritatea aplicațiilor medicale și de fitness din Google Play au funcții de urmărire activate, iar practicile lor de colectare a datelor nu sunt transparente

Un procent de până la 88% din aproape 21.000 de aplicații mobile din categoria sănătate și fitness (mHealth) accesibile pe magazinul Google Play din Australia au incluse secvențe de cod ce pot accesa și chiar partaja datele personale ale utilizatorilor cu părți terțe, arată un studiu realizat de Optus Macquarie University Cyber ​​Security Hub din Sydney.

Lucrarea - denumită Mobile health and privacy: cross sectional study și publicată de British Medical Journal - a analizat 8.000 de aplicații clasificate drept „medicale” și 13.000 de aplicații care se încadrează în categoria „sănătate și fitness”. Au fost incluse aproape toate aplicațiile mHealth ce sunt accesibile în Google Play Store în Australia. În ansamblu, aproape 100.000 de aplicații din Google Play și Apple Store aparțin celor două categorii.

Cercetătorii au efectuat o analiză aprofundată a aproape 16.000 de aplicații gratuite mHealth găsite pe piața aplicațiilor Google și au comparat practicile lor de confidențialitate cu un eșantion de bază de aproape 8.500 de aplicații non-mHealth.

Care au fost rezultatele cercetării?

„Principalele tipuri de date colectate de aplicațiile mHealth includ informații de contact, locația utilizatorului și mai mulți identificatori de dispozitiv. O parte dintre acești identificatori (ne referim în mod specific la identitatea internațională a echipamentelor mobile - IMEI, un identificator unic utilizat pentru amprentarea telefoanelor mobile; controlul accesului media - MAC, un identificator unic al interfeței de rețea în dispozitivul utilizatorului și identitatea internațională a abonatului mobil, un număr unic care identifică în mod unic fiecare utilizator al unei rețele celulare) sunt unici și persistenți, adică sunt imuabili și nu pot fi schimbați sau înlocuiți. De asemenea, pot fi utilizați de terți pentru a urmări utilizatorii din rețele și aplicații", se arată în studiu.

Două din trei aplicații colectează identificatori MAC și cookie-uri,o treime colectează adresele de e-mail ale utilizatorilor și aproximativ un sfert dintre aplicații ar putea presupune locația curentă a utilizatorului pe baza antenei la care sunt conectați.

Cu toate acestea, comparativ cu alte tipuri de aplicații, aplicațiile mHealth au colectat și transmis mai puține date despre utilizatori și au demonstrat o penetrare mai mică a serviciilor terțe. Transmiterea datelor a fost înregistrată la doar aproximativ 4% din aplicațiile mHealth testate, cele mai comune tipuri de date transmise cuprinzând numele și locațiile utilizatorilor.

Un alt articol pe aceeași temă: Android 12 will give you more control over how much data you share with apps

În timp ce studiul a concluzionat că modul în care aplicațiile mHealth colectează și partajează datele utilizatorilor ar putea fi considerate de rutină, răspunderea despre aceste practici nu a fost deloc transparentă. Aproape un sfert din transmiterile de date ale utilizatorilor, în special datele referitoare la parole și date de localizare, au fost observate având loc printr-o conexiune HTTP necriptată nesecurizată. Aproape o treime din aplicațiile mHealth nu au oferit niciun fel de politică de confidențialitate care detaliază modul în care sunt tratate datele.

În plus, un sfert din aplicațiile analizate au gestionat datele într-un mod în care au fost încălcate politicile de confidențialitate. Acest lucru ar putea însemna probleme pentru companiile suspectate că ar fi încălcat reglementările privind confidențialitatea, cum ar fi Regulamentul general al Uniunii Europene privind protecția datelor (GDPR), care impune ca utilizatorii să fie informați în mod clar despre modul în care sunt tratate datele lor.

„Aplicațiile mobile devin rapid surse de informații și instrumente de sprijin pentru luarea deciziilor atât pentru clinicieni, cât și pentru pacienți. Astfel de riscuri de confidențialitate ar trebui să fie comunicate pacienților și ar putea face parte din consimțământul privind utilizarea aplicațiilor. Credem că ar trebui să se țină seama de raportul între beneficiile și riscurile aplicațiilor mHealth pentru orice discuție tehnică și politică în jurul serviciilor furnizate de astfel de aplicații”, conchide lucrarea.

Nu este o veste nouă pentru utilizatori că, pentru a-și putea face treaba, aplicațiile mobile necesită acces la anumite datele sau la funcțiile telefonului, de obicei contacte, locație, microfon sau cameră. Cu toate acestea, în multe cazuri, aplicațiile colectează cantități excesive de informații personale și solicită permisiuni de care nu au nevoie cu adevărat pentru funcțiile promise. Tony Anscombe, Chief Security Evangelist la ESET, a analizat recent de ce ar trebui să fim precauți cu privire la tipurile de permisiuni pe care le acordăm aplicațiilor mobile și când solicitările lor devin excesive.

Amer Owaida June 24, 2021

Lasa un comentariu