55 Android-appers deling av brukerdata med tredjeparter. Et tilsvarende diagram for iOS finnes i rapporten som artikkelen nedenfor viser til. Klikk på diagrammet for å se hele. (Bilde: techscience.org)
Mye av problemet skyldes at mange mobilapper lagrer og behandler dataene i nettskyen i stedet for lokalt på enheten. (Bilde: Fraunhofer SIT)

Mange mobilapper sender persondata til tredjeparter

Ikke minst gjelder dette noen av de mest populære appene til Android og iOS.

En gruppe forskere i USA, de fleste tilknyttet Harvard University, har studert i hvilken grad populære gratisapper til Android og iOS deler potensielt følsom informasjon med tredjeparter. Dette er nå omtalt i en rapport.

De 110 utvalgte applikasjonene var blant de mest populære sommeren 2014 innen ni kategorier hvor det er sannsynlig at appene vil måtte håndtere persondata, inkludert jobbinformasjon, helsedata og posisjon.

Kun HTTP/HTTPS-trafikk

Forskerne har fanget opp HTTP- og HTTPS-trafikken fra appene ved hjelp av en proxyserver, og deretter analysert hva slags data som har blitt overført.

Hver av de undersøkte Android-appene sender potensielt, sensitive data til i gjennomsnitt 3,1 ulike tredjepartsdomene. Det tilsvarende tallet for iOS-appene er 2,6 domener.

Mens 73 prosent av Android-appene overfører identifiserende data som navn og e-postadresse til tredjeparter, er denne andelen bare på 16 prosent blant iOS-appen.

Derimot sender så mange som 47 prosent av iOS-appene posisjonsdata til tredjeparter, mens andelen er på 33 prosent blant Android-appene.

Tre av de 30 appene i helse- og fitness-kategorien deler søkeuttrykk og andre data som brukerne har tastet inn, med tredjeparter.

Leste du denne? Dette er tidenes mest populære apper

Google

Google er den tredjeparten som dataene i størst grad deles med. 36 prosent av appene deler potensielt sensitive data med google.com, mens 18 prosent deler slike data med googleapis.com. Deretter følger apple.com med 17 prosent og facebook.com med 14 prosent.

Tabell over hvilke domener som mottar potensielt sensitive brukerdata fra flest apper i undersøkelsen. Antallet aktuelle domener er dog langt større enn dette.
Tabell over hvilke domener som mottar potensielt sensitive brukerdata fra flest apper i undersøkelsen. Antallet aktuelle domener er dog langt større enn dette, noe diagrammet i toppen av saken gjengir. Bilde: techscience.org
 

Det er ingen av Android-appene som deler noe med Apple, mens det er seks av iOS-appene som deler data med Google, når man også ta med google-analytics.

Mystisk domene

Forskerne har også oppdaget et litt mystisk domene, hla2.safemovedm.com, som hele 93 prosent av Android-appene, men tilsynelatende også selve operativsystemet tar kontakt med.

Trafikken mellom appene og domenet via HTTP-protokollene skal ha vært mer eller mindre uten innhold. Men forskerne ser ikke bort fra at kommunikasjonen mellom safemovedm.com og enhetene primært foregår via andre porter enn dem som vanligvis brukes av HTTP og HTTPS.

Hvem som egentlig eier domene, er uklart, men denne siden antyder at det kan dreie seg om noe som er tilknyttet en WiFi-sone, muligens gjennom programvare som er forhåndsinstallert av mobiloperatøren.

Generelt opplyser forskerne at sannsynligheten for at iOS-apper deler potensielt sensitiv informasjon med tredjeparter, er lavere enn for Android-appene i samme kategori, dersom man ser bort fra posisjonsdata. Men brukeren må for hver iOS-app godkjenne at denne får tilgang til slike data.

Godtar det: Folk ønsker å gi fra seg data for å få kule app-er 

Lite informasjon

Problemet er at appene i liten grad informerer om at dataene blir delt med andre.

– Resultatene våre viser at mange mobilapper deler potensielt sensitive brukerdata med tredjeparter, og at de ikke trenger synlige tillatelser for å få tilgang til dataene. Framtidige mobil-operativsystemer og app-butikker bør vurdere design som tydeligere forteller brukerne om appenes deling av potensielt sensitive brukerdata, konkluderer forskerne.

Les mer: – Elendig sikkerhet i de fleste mobilapper 

Til toppen