Minst 83 apper har tilknytning til et selskap som selger data om mobilbrukeres bevegelser. De har blitt lastet ned mer enn 230 millioner ganger.
Personvernekspert Sean O’Brien ved Yale Privacy Lab advarer folk mot å installere mange apper på mobilen. Det er fordi en eller flere av appene kan spre informasjon om deg, kanskje til og med uten at du vet det.
Ta for eksempel appen «Quran Mp3» utgitt av utvikleren AppSourceHub. Inntil nylig betydde det å installere denne appen at dine mobilbevegelser kunne bli sporet av det britiske selskapet Huq Industries.
Første gang du åpnet appen ville du bli spurt om appen kunne få tilgang til mobilens stedsdata. Trykket du «godta» ville du bli forelagt en forkortet personvernerklæring som fortalte deg at appen samlet inn «forskjellige typer data som i noen tilfeller kan være identifiserende opplysninger».
Quran Mp3 har blitt lastet ned over én million ganger, og den er bare en av mange. Huq Industries kan samle inn stedsdata fra Android-apper nedlastet minst 230 millioner ganger, ifølge en opptelling NRK har gjort basert på appscanneren Exodus Privacy i tidsrommet 15-18. oktober.
Om brukeren skulle angre seg var det mulig å slå av «datainnsamling» i appen Quran Mp3. Det kunne man gjøre i appens innstillinger, men ifølge Joel Reardon ville Huq Industries likevel fått brukerens presise mobilbevegelser. Det viste en analyse han gjorde på vegne av NRK. Reardon er medgrunnlegger av det personvernfokuserte analyseselskapet AppCensus.
Reardon har i tillegg funnet to andre apper som oppførte seg på samme måte. Appene «Network Signal Info» og «QR & Barcode Scanner» har tidligere blitt omtalt av Vice Motherboard. Til BBC innrømmet selskapet at de to appene ikke hadde fulgt deres retningslinjer og at det skal bli fikset.
Huq Industries opplyser til NRK at de nå har brutt partnerskapet med AppSourceHub. Selskapet utviklet appene «Quran Mp3» og «QR & Barcode Scanner».
– Vi er klar over tre tekniske brudd på våre krav til godt personvern. Det innebærer blant annet tilstrekkelige tiltak for å innhente samtykke når brukeren laster ned våre partneres apper, sier Conrad Poulson som er sjef for Huq Industries.
Poulson understreker at de rettet feilene så fort de ble klar over dem.
SJEKK SELV: I bunnen av artikkelen har vi listet opp Android-apper med tilknytning til Huq Industries. Trykk her for å hoppe til listen. NRK har ikke hatt mulighet til å lage en lignende oversikt for iPhone på grunn av at dette operativsystemet er mer lukket.
Selskapet etterforskes
Huq Industries er under etterforskning av dansk datatilsyn. I korrespondanse med tilsynet har selskapet delt et eksempel på hvordan de innhenter et juridisk samtykke til å behandle mobilbrukeres personopplysninger.
Ifølge to jurister som spesialiserer seg på personvernlov er dette samtykke ikke i tråd med det felles europeiske personvernregelverket (GDPR).
NRK har så forelagt fire app-samtykker for to jurister. De mener at samtykkene i appene Quran Mp3, Internet Speed Test, og Speedometer HD ikke var gode nok. De landet på ulike konklusjoner for en britisk togapp.
– Ingen bruker samtykke i samsvar med GDPR, sier Malgorzata Agnieszka Cyndecka som er førsteamanuensis ved Universitetet i Bergen.
Vebjørn Søndersrød leder fagområdet personvern ved advokatkontoret Ræder. Han mener at tre av appene har flere mangler, men at den viktigste er at brukerne ikke vet nok til å gjøre et informert valg akkurat der de blir bedt om å tillate å la seg spore.
– Du vet ikke hvem eller hvor mange aktører dine data deles med, du vet ikke hvilke av dine data som deles, og du vet heller ikke hva dine data brukes til, sier Søndersrød.
For å få denne informasjonen må brukeren trykke seg inn til appenes fulle personvernerklæring.
- Norge innførte personopplysningsloven i 2018. Den viktigste delen av loven er det som kalles EUs personvernforordning (GDPR), et regelverk som dekker alle EØS-land.
- Under personvernforordningen er det kun seks lovlige måter å behandle nordmenns personopplysninger. Personopplysninger kan være navn, fødselsnummer, seksuell orientering, og informasjon om hvor du befinner deg.
- Å samtykke er en av de seks behandlingsgrunnlagene. Loven sier at et samtykke skal være «frivillig, spesifikk, informert og utvetydig».
- Litt enkelt betyr det at man ikke kan tvinges til å samtykke, man må kunne forstå hva man sier ja til, og at det er tydelig avgrenset.
NRK har forelagt Huq Industries og de apputviklerne for juristenes vurderinger og funnene til Joel Reardon.
National Rail, en britisk sammenslutning av private jernbaneselskaper, forteller at de nå har avsluttet samarbeidet med Huq Industries for å være på den sikre siden. Foreløpig har ingen av de andre apputviklerne kommet tilbake til oss. Vi vil oppdatere saken når det skjer.
Markedssjef i Huq Industries, Alexander Fairfax, mener man skal være varsomme med å konkludere om deres datainnsamling er lovlig uten å kjenne alle detaljer. Han oppgir til NRK at de har et team med erfaring med det felles europeiske personvernregelverket (GDPR).
– I vår avtale med app-partnerne våre har vi tydelig beskrevet hvordan de bør innhente samtykke for formålene vi bruker dataene til. Det er deres ansvar å følge opp disse betingelsene. Vi tar personvern veldig alvorlig og vi vil sjekke opp alle bekymringer om spesifikke apper umiddelbart, sier Fairfax.
Fairfax oppgir at eksempelet på samtykke de delte med det danske datatilsynet var «designet for å forklare hvordan samtykkevinduer kan fungere».
– Det avgjørende var at materialet som ble delt med datatilsynet inkluderte ytterligere veiledning vi gir til partnere om deres forpliktelser til å innhente riktig samtykke. Dette inkluderer eksempler på formuleringer, sier Fairfax.
– Det er ikke mulig å foreta en vurdering av om man opererer i samråd med GDPR basert på et enkelt skjermbilde, siden det å operere i samsvar ned GDPR består av et bredt spekter av komponenter, inkludert samtykke fra brukeren til hvordan dataene behandles og brukes, sier Fairfax.
Huq Industries har tidligere oppgitt at de selger data til andre selskaper. Overfor NRK understreker selskapet at informasjonen kun skal brukes til ulike analyseformål.
– Vi har ingen kommersiell interesse av å identifisere enkeltpersoner, sier Huq-sjef Conrad Poulson.
Advarer mot å installere mange apper
Sean O’Brien ved Yale Privacy Lab mener Google og Apple burde gjort mer for å beskytte mobileiere. Ifølge ham er apper nærmest tvunget til å overvåke sine brukere for å tjene penger fordi det er vanskelig å finansiere apputvikling på andre måter.
– Du må spionere på brukerne og du må selge deres data, sier O’Brien til NRK.
O’Brien advarer spesielt mot å installere apper som åpent samarbeider med selskaper som Huq Industries. Om man først installere en app bør man være forsiktig med å gi dem mer tilganger enn de absolutt trenger, mener O’Brien. Det skyldes at mange apper sporer brukerne sine og at noen apper til og med gjør det i skjul.
Han mener at Apple og Google kunne gjort mer for å oppdage og kaste ut selskaper som sporer mobilbrukere ved å være mer proaktive.
Blitt vanskeligere å spore
Google og Apple har strammet inn hvor enkelt det er for en app å få tilgang til brukernes bevegelsesdata. Det har blant annet blitt vanskeligere å spore brukerne mens en app er i bakgrunnen eller at mobilen er låst. Apple har også innført en oversikt som i større grad viser hvilke typer data apper samler inn og deler videre.
Apple har ikke besvart NRKs henvendelser. Kommunikasjonsansvarlig i Google Norge, Sondre Ronander, oppgir at de undersøker Huq Industries.
– Vi er helt fokusert på å beskytte brukernes personvern, og tilby et trygt og sikkert miljø. Apper som er villedende, skadelige, eller på noen måte forsøker å misbruke nettverk, enheter, eller personlige data er strengt forbudt, sier Ronander.
– Google Play Protect skanner over 100 milliarder apper på folk sine enheter hver eneste dag for å sikre at installerte apper ikke oppfører seg på noen skadelig måte, og i 2020 alene forhindret vi over 962.000 apper som brøt våre retningslinjer fra å bli publisert på Google Play i det hele tatt, sier kommunikasjonsansvarlig Sondre Ronander hos Google Norge.
Oversikt over apper som kan sende mobilbrukerens presise bevegelser til Huq Industries. Sist oppdatert 15-18. oktober:
| Navn | Teknisk navn |
|---|---|
| 3D Earth | com.livingearth.free |
| 3D Earth&Moon | com.deluxeware.earthmoon.wp |
| Acak | com.acak.live.video.call |
| ADSL Teknik Servis | com.mobiroller.mobi26976771444 |
| Air Quality | com.airindex.aqi.weather |
| Akinator | com.digidust.elokence.akinator.freemium |
| All Languange Translator | com.balimedia.alldict |
| Arranger Keyboard | com.audiosdroid.arrangerkeyboard |
| Audiosdroid Audio Studio | com.audiosdroid.audiostudio |
| Basketball GM 19 | com.fromthebenchgames.nbamanager15 |
| Belajar Bahasa Jepang | balimedia.com.belajarbahasajepang |
| BMI Calculator | com.fitness.mybodymass.bmicalculator |
| Bus CountDown | com.appeffectsuk.bustracker |
| Call Reminder | com.calllog.notes.callreminder |
| CamFind | com.msearcher.camfind |
| Champions | com.CreativeDK.LeagueofLegendsChampions |
| Contacts Master | com.callhistory.contacts.calllog |
| Coordinator | com.suleymaner.coordinatorplus |
| DigiHUD | org.mrchops.android.digihud |
| Digital Clock and Weather | com.sonyericsson.digitalclockwidget2 |
| Digital Dashboard GPS | luo.digitaldashboardgps |
| Easy Contacts Backup | com.mcbackup.contact.contactbackup |
| EMI Calculator | com.finance.loan.emicalculator |
| Fantasy Manager Football | com.fromthebenchgames.fmfootball2015 |
| FlightHero Free | com.ik.flightherofree |
| Free PC Games | de.thegolem.freepcgames |
| Fu*** Weather | pl.lawiusz.funnyweather.release |
| FX Music Karaoke Player | com.audiosdroid.musicplayer |
| Game Day Free | com.gameday.snackrecipes |
| GPS Photo | com.gpsphoto.gpsmapgeotag.location |
| GPS Speed | luo.gpsspeed |
| Healthy Drinks | com.healthyrecipes.drinks |
| Indonesian Dictionary | com.balimedia.kamusinggris |
| IPTV 3U | com.iptv3u |
| Islamic Calendar | com.islamiccalendar.dateconverter.hijari |
| Islamic World | com.ramadan.muslim.qibla |
| Kamus Arab | com.balimedia.kamusarab |
| Kamus Bahasa Mandarin | com.balimedia.kamusmandarin |
| Kamus Jepang | com.balimedia.kamusjepang |
| Kamus Korea | com.balimedia.kamuskorea |
| Liverpool FC Fantasy Manager ’19 | com.fromthebenchgames.fmliv2015 |
| Medical ID (free) | app.medicalid.free |
| Mini For Instagram | com.Gold_Finger.V.X.your_Instagram |
| Mini Social | com.Gold_Finger.V.X.MiniSocial |
| Muslim | com.ramadan.appsourcehub |
| My Train Info | com.mytraininfo.irctc.train |
| National Rail | uk.co.nationalrail.google |
| Network Signal Info | de.android.telnet |
| Newplay | com.repotools.iptvnewplay |
| NFLPA Manager | nfl.players.fantasy.manager.mobile.app |
| Pedometer | com.fitness.stepcounter.pedometer |
| Ping Master X | com.anutoapps.pingmasterfree |
| Portable ORG | com.audiosdroid.portableorg |
| Prayer Times | com.ramdantimes.prayertimes.allah |
| Qibla | com.qiblafinder.prayertime.hijricalendar |
| Qibla | com.qiblacompass.finder |
| Qibla | com.prayertimes.qiblafinder |
| QR Scanner | qrcode.scanner.qrmaker |
| Quran Mp3 | com.quranmp3.readquran |
| Quran Mp3 | com.quranmp3ramadan.readquran |
| Radar detector | com.lelic.speedcam |
| Rain Radar | com.deluxeware.rainradar |
| Real Cricket World Cup 2019 | world.cup.icc2019.epic.cricket.card.league |
| Salad Recipes | com.omniluxtrade.saladrecipes |
| Speech2Text Translator | com.audiosdroid.speech2text |
| Speed View GPS | luo.speedviewgps |
| Speedcheck Pro | org.speedspot.speedanalytics |
| Speedcheck Simple | org.speedspot.speedspotspeedtest |
| Speedometer | com.digitalhud.speedometer |
| Speedometer GPS | luo.speedometergps |
| Speedometer HD | com.speedgauge.tachometer.speedometer |
| Tukang Ramal | com.balimedia.ramalan |
| Video to Mp3 | com.videocutter.mp3converter |
| Vidownload | com.lowlevel.vihosts.app |
| VirtualPet | com.audiosdroid.virtualpet |
| Vocal Calculator | com.audiosdroid.vocalcalc |
| Weather | net.difer.weather |
| Weather Now | com.weathernowapp.weathernow |
| Weather Now | com.weathernowapp.premium |
| WiFi Overview 360 | de.android.wifiscanner |
| Wiseplay | com.wiseplay |
| Years & Days Calculator | com.audiosdroid.datecalc |
| YourPlanner | wtf.kyl.new_yourplanner_madebykongyinlam |
- NRK har identifisert apper som inneholder en kodesignatur («io.huq.sourcekit.») som tilhører dataforhandleren Huq Industries.
- Undersøkelsen, som ble gjort 15-18. oktober, viser at Huq Industries kodesignatur er til stede i den siste versjonen av 83 apper. Ytterligere 56 apper har på et tidligere tidspunkt hatt spor av Huq Industries. NRK har brukt appscanneren Exodus Privacy med hjelp av Esther Onfroy fra Defensive Lab Agency til å utføre analysene.
- At en app inneholder en kodesignatur kan bety at appen sender Huq Industries data, men ikke alltid. Appene har også forskjellige måter å innhente samtykke til å behandle og dele personopplysninger.
Få listen som et Excel-ark, CSV med nåværende apper, eller CSV med tidligere apper.
Det hadde vært interessant å få se tall på hvor stor andel av brukerne som pleier godkjenne slike vilkår ved bare å klikke «godkjenn» og uten å lese gjennom vilkårene.
Det hadde vært interessant ja. Jeg tror nok det varierer ganske mye fra hvordan informasjonen er utformet til hvilken type app det er.
Mitt inntrykk fra å jobbe med lignende saker er at en stor prosentandel trykker «OK» eller «godta» uten å sette seg nærmere inn i hva det innebærer.
For egen del er jeg restriktiv, og jeg tar alltid en titt på betingelsene før jeg installerer noe nytt. Dette gjelder både i iOS og MacOS. Jeg sjekker også allerede installerte apper om igjen av og til.
Min oppfatning er at personvern er noe bedre hos Apple, og det kan kanskje illustreres ved Facebooks og andres reaksjoner på innstrammingene gjennom brukertillatelser.
Jeg har ingen illusjoner om at jeg på noen måte har det personvernet jeg burde hatt, og mener plattformene generelt er et større problem enn «stray apps».
Jeg legger til grunn at alt jeg gjør digitalt kan spores, og at mye av det kan selges.
Når det gjelder «privacy statements» blir det litt som menyen hos en restaurant, man ser hva som er der, men menyen forteller ikke hvordan det smaker. En bør ikke ta menyen for god fisk.
Hadde gjerne sett at plattformene fikk vridd armene på ryggen og ble pålagt en rigid standardisering av betingelsene på linje med f.eks GPL-standardisering + segmentering av paragrafer slik at man lettere kan sortere vekk apper med avvik. Apple har jo på en måte gjort dette mht sporing, men det er langt igjen før personvernet er ivaretatt der også.
Eller man kan bare advare mot å bruke Android, mye enklere det enn å liste opp alle appene man ikke bør bruke.
Ja, hadde vært det beste om alle brukte iPhone.
Det stemmer at Apple med IOS viser at de forsøker i noen tilfeller å drive med personvernende parksis men å fanboye til et lukket ekosystem fordi det er umulig å legge inn apper på det eneste apprepositoriet til OSet er ikke nødvendigvis løsningen. Android som ett operativsystem er ikke i seg selv mer utsatt for dette en IOS.
Som H sier, Apple kan fremstå noe bedre, men de holder kortene litt tettere til brystet (som nevnt i artikkelen). Den nye bildesøkfunksjonen kan jo også diskuteres. For folk flest betyr det fint lite hva man velger av iOS og Android, men heller hvordan man bruker det.
Fordelen med android telefoner er at de kan i mye større grad settes opp til å sikre personvernet, enn iphone. Problemet er bare at det er tidkrevende for «ufaglærte». Den beste beskyttelsen vil alltid være å ikke bruke smartmobil, PC osv.
Nyttig informasjon
Tusen takk NRK beta for at dere fortsetter å gi opplysning til folket!
I mine øyne har Martin rett i alt han skriver, fordi han belyser et kompleks tema uten vemod eller å snakke ned til noen.
I mine ører er dette et strålende eksempel på god kommunikasjon, en sjelden vare i alle tider, så vel som i denne.
Fremfor å angripe appene, eller moderfirmaet Huq Industries, så er det en overhengede
skygge av andre ting som også foregår.
Det er viktig argument for eierskap Seaon O’Brien er inne på:
Oppfanging av data som omhandler bevegelsesmønster advares mot å gi til apper er beklageligvis tynt. Og med rette.
Dette fordi samtalen om hvem somh eier «din» data er diskutert på globalt basis – og det er telecom firma.
Hvis du vet hvor en person tar med seg sin telefon til enhver tid, så har du allerede mye av dataen du trenger. Uten apps.
Appene er på en måte mygg i forhold til hva de gigantiske selskaper har av informasjon allerede. Og de startet å lagre den dataen sansynligvis en gang på 1990 tallet, før de visste hva man skulle gjøre med den.
Tilbake til artikkel:
Det er stygge apps som kan missbruke dataen din, det er sant.
Og å selge den urettmessig – eller i beste fall mot din vilje, selv om du trykket «ok» –
men, .. men men… Det er andre som tar alt og alle.
Firma som samler inn data om millioner av brukere er ingenting i forhold
til firma som samler inn data om billioner av brukere.
Jeg tror jeg falt av toget allerede igjen.
Enten du vil eller ikke – så er det større fisk som allerede har den dataen vi
velger å bekymre oss for. Dette tror jeg er det dypere dykket man kan ta
om man er villig til det. Og også noe forfatter av artikkelen sansynligvis har
gjort allerede.
Takk NRK Beta for en finurlig og interessant artikkel som er både velskreven og tydelig.
Og takk Mr Gundersen
I The Atlantic hadde de en artikkel hvor de hadde sett på hvor lang tid det vil ta å lese personvernserklæringene i løpet av et år, og kom fram til 76 arbeidsdager. Per år.
Det kan jo være med på å forklare hvorfor man bare trykker OK.
theatlantic.com/technology/archive/2012/03/reading-the-privacy-policies-you-encounter-in-a-year-woul…
mannn ikke akinator :(((
Sprøtt at klokkeappen til Sony kan spionere på deg. Blir vanskelig å vurdere slikt når selv seriøse produsenter gjør sånt.
«Digital Clock and Weather com.sonyericsson.digitalclockwidget2»
Det der kan du forvente fra ganske mange og langt større leverandører enn Sony. Har du Samsung eller LG tv må du nok inn på routeren din for å blokkere, og jeg kan ikke tenke meg en Android TV eller Android «Setup box» (eller bil for den del) som ivaretar personvern.
OBS!
Var rask med å bli kvitt en QR-code scanner. Den slettet jeg før jeg fikk sjekket om det var den rette.
Sjekker ikke for spam så ofte, men fikk nylig russisk?/asiatisk? e-poster ufiltrert.
Takk!
Lurt ikke å ha for mange apper ja.
Trodde jeg var godt innafor, men kanskje ikke.
ubuntu på lap, og str 11-12 i hansker gjør at jeg gjør det meste der.
beta avd er snart eneste å besøke hos dere – synd!