nrk.no

Dette er appene du bør passe deg for

Kategori: Samfunn

SPORING: Appen «Quran Mp3» delte informasjon om brukerens bevegelser med et britisk selskap selv uten brukerens samtykke. Foto: Martin Gundersen / NRK


Minst 83 apper har tilknytning til et selskap som selger data om mobilbrukeres bevegelser. De har blitt lastet ned mer enn 230 millioner ganger.

Personvernekspert Sean O’Brien ved Yale Privacy Lab advarer folk mot å installere mange apper på mobilen. Det er fordi en eller flere av appene kan spre informasjon om deg, kanskje til og med uten at du vet det.

Ta for eksempel appen «Quran Mp3» utgitt av utvikleren AppSourceHub. Inntil nylig betydde det å installere denne appen at dine mobilbevegelser kunne bli sporet av det britiske selskapet Huq Industries.

Første gang du åpnet appen ville du bli spurt om appen kunne få tilgang til mobilens stedsdata. Trykket du «godta» ville du bli forelagt en forkortet personvernerklæring som fortalte deg at appen samlet inn «forskjellige typer data som i noen tilfeller kan være identifiserende opplysninger».

SAMTYKKE: Dette er informasjonen en bruker fikk da de installerte «Quran Mp3». To jurister mener at denne typen samtykke ikke er godt nok. Oransje markeringer lagt til av NRK. Illustrasjon: Martin Gundersen / NRK

Quran Mp3 har blitt lastet ned over én million ganger, og den er bare en av mange. Huq Industries kan samle inn stedsdata fra Android-apper nedlastet minst 230 millioner ganger, ifølge en opptelling NRK har gjort basert på appscanneren Exodus Privacy i tidsrommet 15-18. oktober.

Om brukeren skulle angre seg var det mulig å slå av «datainnsamling» i appen Quran Mp3. Det kunne man gjøre i appens innstillinger, men ifølge Joel Reardon ville Huq Industries likevel fått brukerens presise mobilbevegelser. Det viste en analyse han gjorde på vegne av NRK. Reardon er medgrunnlegger av det personvernfokuserte analyseselskapet AppCensus.

Reardon har i tillegg funnet to andre apper som oppførte seg på samme måte. Appene «Network Signal Info» og «QR & Barcode Scanner» har tidligere blitt omtalt av Vice Motherboard. Til BBC innrømmet selskapet at de to appene ikke hadde fulgt deres retningslinjer og at det skal bli fikset.

Huq Industries opplyser til NRK at de nå har brutt partnerskapet med AppSourceHub. Selskapet utviklet appene «Quran Mp3» og «QR & Barcode Scanner».

– Vi er klar over tre tekniske brudd på våre krav til godt personvern. Det innebærer blant annet tilstrekkelige tiltak for å innhente samtykke når brukeren laster ned våre partneres apper, sier Conrad Poulson som er sjef for Huq Industries.

Poulson understreker at de rettet feilene så fort de ble klar over dem.

SJEKK SELV: I bunnen av artikkelen har vi listet opp Android-apper med tilknytning til Huq Industries. Trykk her for å hoppe til listen. NRK har ikke hatt mulighet til å lage en lignende oversikt for iPhone på grunn av at dette operativsystemet er mer lukket.

SE OPP: Appen «Internet Speed Test» lar deg sjekke farten på nettverket, men to jurister mener at samtykket ikke er lovlig etter europeiske personvernregler. Foto: Martin Gundersen / NRK

Selskapet etterforskes

Huq Industries er under etterforskning av dansk datatilsyn. I korrespondanse med tilsynet har selskapet delt et eksempel på hvordan de innhenter et juridisk samtykke til å behandle mobilbrukeres personopplysninger.

Ifølge to jurister som spesialiserer seg på personvernlov er dette samtykke ikke i tråd med det felles europeiske personvernregelverket (GDPR).

NRK har så forelagt fire app-samtykker for to jurister. De mener at samtykkene i appene Quran Mp3, Internet Speed Test, og Speedometer HD ikke var gode nok. De landet på ulike konklusjoner for en britisk togapp.

– Ingen bruker samtykke i samsvar med GDPR, sier Malgorzata Agnieszka Cyndecka som er førsteamanuensis ved Universitetet i Bergen.

IKKE GODT NOK: De to juristene, Vebjørn Søndersrød og Malgorzata Agnieszka Cyndecka, mener tre av appene Huq Industries har samarbeidet med ikke har hatt gode samtykker. Foto: Martin Gundersen / NRK, Eirik Holmøyvik / UIB

Vebjørn Søndersrød leder fagområdet personvern ved advokatkontoret Ræder. Han mener at tre av appene har flere mangler, men at den viktigste er at brukerne ikke vet nok til å gjøre et informert valg akkurat der de blir bedt om å tillate å la seg spore.

– Du vet ikke hvem eller hvor mange aktører dine data deles med, du vet ikke hvilke av dine data som deles, og du vet heller ikke hva dine data brukes til, sier Søndersrød.

For å få denne informasjonen må brukeren trykke seg inn til appenes fulle personvernerklæring.

Hva er et lovlig samtykke?

  • Norge innførte personopplysningsloven i 2018. Den viktigste delen av loven er det som kalles EUs personvernforordning (GDPR), et regelverk som dekker alle EØS-land.
  • Under personvernforordningen er det kun seks lovlige måter å behandle nordmenns personopplysninger. Personopplysninger kan være navn, fødselsnummer, seksuell orientering, og informasjon om hvor du befinner deg.
  • Å samtykke er en av de seks behandlingsgrunnlagene. Loven sier at et samtykke skal være «frivillig, spesifikk, informert og utvetydig».
  • Litt enkelt betyr det at man ikke kan tvinges til å samtykke, man må kunne forstå hva man sier ja til, og at det er tydelig avgrenset.

NRK har forelagt Huq Industries og de apputviklerne for juristenes vurderinger og funnene til Joel Reardon.

National Rail, en britisk sammenslutning av private jernbaneselskaper, forteller at de nå har avsluttet samarbeidet med Huq Industries for å være på den sikre siden. Foreløpig har ingen av de andre apputviklerne kommet tilbake til oss. Vi vil oppdatere saken når det skjer.

Markedssjef i Huq Industries, Alexander Fairfax, mener man skal være varsomme med å konkludere om deres datainnsamling er lovlig uten å kjenne alle detaljer. Han oppgir til NRK at de har et team med erfaring med det felles europeiske personvernregelverket (GDPR).

– I vår avtale med app-partnerne våre har vi tydelig beskrevet hvordan de bør innhente samtykke for formålene vi bruker dataene til. Det er deres ansvar å følge opp disse betingelsene. Vi tar personvern veldig alvorlig og vi vil sjekke opp alle bekymringer om spesifikke apper umiddelbart, sier Fairfax.

Fairfax oppgir at eksempelet på samtykke de delte med det danske datatilsynet var «designet for å forklare hvordan samtykkevinduer kan fungere».

– Det avgjørende var at materialet som ble delt med datatilsynet inkluderte ytterligere veiledning vi gir til partnere om deres forpliktelser til å innhente riktig samtykke. Dette inkluderer eksempler på formuleringer, sier Fairfax.

– Det er ikke mulig å foreta en vurdering av om man opererer i samråd med GDPR basert på et enkelt skjermbilde, siden det å operere i samsvar ned GDPR består av et bredt spekter av komponenter, inkludert samtykke fra brukeren til hvordan dataene behandles og brukes, sier Fairfax.

Huq Industries har tidligere oppgitt at de selger data til andre selskaper. Overfor NRK understreker selskapet at informasjonen kun skal brukes til ulike analyseformål.

– Vi har ingen kommersiell interesse av å identifisere enkeltpersoner, sier Huq-sjef Conrad Poulson.

Advarer mot å installere mange apper

Sean O’Brien ved Yale Privacy Lab mener Google og Apple burde gjort mer for å beskytte mobileiere. Ifølge ham er apper nærmest tvunget til å overvåke sine brukere for å tjene penger fordi det er vanskelig å finansiere apputvikling på andre måter.

– Du må spionere på brukerne og du må selge deres data, sier O’Brien til NRK.

O’Brien advarer spesielt mot å installere apper som åpent samarbeider med selskaper som Huq Industries. Om man først installere en app bør man være forsiktig med å gi dem mer tilganger enn de absolutt trenger, mener O’Brien. Det skyldes at mange apper sporer brukerne sine og at noen apper til og med gjør det i skjul.

MYE SPORING: – De vet at dere er et høyt antall selskaper som sporer brukere i de fleste appene i deres nettbutikker, sier Sean O’Brien. Foto: Privat

Han mener at Apple og Google kunne gjort mer for å oppdage og kaste ut selskaper som sporer mobilbrukere ved å være mer proaktive.

Blitt vanskeligere å spore

Google og Apple har strammet inn hvor enkelt det er for en app å få tilgang til brukernes bevegelsesdata. Det har blant annet blitt vanskeligere å spore brukerne mens en app er i bakgrunnen eller at mobilen er låst. Apple har også innført en oversikt som i større grad viser hvilke typer data apper samler inn og deler videre.

Apple har ikke besvart NRKs henvendelser. Kommunikasjonsansvarlig i Google Norge, Sondre Ronander, oppgir at de undersøker Huq Industries.

– Vi er helt fokusert på å beskytte brukernes personvern, og tilby et trygt og sikkert miljø. Apper som er villedende, skadelige, eller på noen måte forsøker å misbruke nettverk, enheter, eller personlige data er strengt forbudt, sier Ronander.

– Google Play Protect skanner over 100 milliarder apper på folk sine enheter hver eneste dag for å sikre at installerte apper ikke oppfører seg på noen skadelig måte, og i 2020 alene forhindret vi over 962.000 apper som brøt våre retningslinjer fra å bli publisert på Google Play i det hele tatt, sier kommunikasjonsansvarlig Sondre Ronander hos Google Norge.

Oversikt over apper som kan sende mobilbrukerens presise bevegelser til Huq Industries. Sist oppdatert 15-18. oktober:

Navn Teknisk navn
3D Earth com.livingearth.free
3D Earth&Moon com.deluxeware.earthmoon.wp
Acak com.acak.live.video.call
ADSL Teknik Servis com.mobiroller.mobi26976771444
Air Quality com.airindex.aqi.weather
Akinator com.digidust.elokence.akinator.freemium
All Languange Translator com.balimedia.alldict
Arranger Keyboard com.audiosdroid.arrangerkeyboard
Audiosdroid Audio Studio com.audiosdroid.audiostudio
Basketball GM 19 com.fromthebenchgames.nbamanager15
Belajar Bahasa Jepang balimedia.com.belajarbahasajepang
BMI Calculator com.fitness.mybodymass.bmicalculator
Bus CountDown com.appeffectsuk.bustracker
Call Reminder com.calllog.notes.callreminder
CamFind com.msearcher.camfind
Champions com.CreativeDK.LeagueofLegendsChampions
Contacts Master com.callhistory.contacts.calllog
Coordinator com.suleymaner.coordinatorplus
DigiHUD org.mrchops.android.digihud
Digital Clock and Weather com.sonyericsson.digitalclockwidget2
Digital Dashboard GPS luo.digitaldashboardgps
Easy Contacts Backup com.mcbackup.contact.contactbackup
EMI Calculator com.finance.loan.emicalculator
Fantasy Manager Football com.fromthebenchgames.fmfootball2015
FlightHero Free com.ik.flightherofree
Free PC Games de.thegolem.freepcgames
Fu*** Weather pl.lawiusz.funnyweather.release
FX Music Karaoke Player com.audiosdroid.musicplayer
Game Day Free com.gameday.snackrecipes
GPS Photo com.gpsphoto.gpsmapgeotag.location
GPS Speed luo.gpsspeed
Healthy Drinks com.healthyrecipes.drinks
Indonesian Dictionary com.balimedia.kamusinggris
IPTV 3U com.iptv3u
Islamic Calendar com.islamiccalendar.dateconverter.hijari
Islamic World com.ramadan.muslim.qibla
Kamus Arab com.balimedia.kamusarab
Kamus Bahasa Mandarin com.balimedia.kamusmandarin
Kamus Jepang com.balimedia.kamusjepang
Kamus Korea com.balimedia.kamuskorea
Liverpool FC Fantasy Manager ’19 com.fromthebenchgames.fmliv2015
Medical ID (free) app.medicalid.free
Mini For Instagram com.Gold_Finger.V.X.your_Instagram
Mini Social com.Gold_Finger.V.X.MiniSocial
Muslim com.ramadan.appsourcehub
My Train Info com.mytraininfo.irctc.train
National Rail uk.co.nationalrail.google
Network Signal Info de.android.telnet
Newplay com.repotools.iptvnewplay
NFLPA Manager nfl.players.fantasy.manager.mobile.app
Pedometer com.fitness.stepcounter.pedometer
Ping Master X com.anutoapps.pingmasterfree
Portable ORG com.audiosdroid.portableorg
Prayer Times com.ramdantimes.prayertimes.allah
Qibla com.qiblafinder.prayertime.hijricalendar
Qibla com.qiblacompass.finder
Qibla com.prayertimes.qiblafinder
QR Scanner qrcode.scanner.qrmaker
Quran Mp3 com.quranmp3.readquran
Quran Mp3 com.quranmp3ramadan.readquran
Radar detector com.lelic.speedcam
Rain Radar com.deluxeware.rainradar
Real Cricket World Cup 2019 world.cup.icc2019.epic.cricket.card.league
Salad Recipes com.omniluxtrade.saladrecipes
Speech2Text Translator com.audiosdroid.speech2text
Speed View GPS luo.speedviewgps
Speedcheck Pro org.speedspot.speedanalytics
Speedcheck Simple org.speedspot.speedspotspeedtest
Speedometer com.digitalhud.speedometer
Speedometer GPS luo.speedometergps
Speedometer HD com.speedgauge.tachometer.speedometer
Tukang Ramal com.balimedia.ramalan
Video to Mp3 com.videocutter.mp3converter
Vidownload com.lowlevel.vihosts.app
VirtualPet com.audiosdroid.virtualpet
Vocal Calculator com.audiosdroid.vocalcalc
Weather net.difer.weather
Weather Now com.weathernowapp.weathernow
Weather Now com.weathernowapp.premium
WiFi Overview 360 de.android.wifiscanner
Wiseplay com.wiseplay
Years & Days Calculator com.audiosdroid.datecalc
YourPlanner wtf.kyl.new_yourplanner_madebykongyinlam

Hvordan fant NRK appene?

  • NRK har identifisert apper som inneholder en kodesignatur («io.huq.sourcekit.») som tilhører dataforhandleren Huq Industries.
  • Undersøkelsen, som ble gjort 15-18. oktober, viser at Huq Industries kodesignatur er til stede i den siste versjonen av 83 apper. Ytterligere 56 apper har på et tidligere tidspunkt hatt spor av Huq Industries. NRK har brukt appscanneren Exodus Privacy med hjelp av Esther Onfroy fra Defensive Lab Agency til å utføre analysene.
  • At en app inneholder en kodesignatur kan bety at appen sender Huq Industries data, men ikke alltid. Appene har også forskjellige måter å innhente samtykke til å behandle og dele personopplysninger.

Få listen som et Excel-ark, CSV med nåværende apper, eller CSV med tidligere apper.

14 kommentarer

    • Martin Gundersen (NRK) (svar til Svein Harald Antonsen)

      Det hadde vært interessant ja. Jeg tror nok det varierer ganske mye fra hvordan informasjonen er utformet til hvilken type app det er.

      Mitt inntrykk fra å jobbe med lignende saker er at en stor prosentandel trykker «OK» eller «godta» uten å sette seg nærmere inn i hva det innebærer.

    • For egen del er jeg restriktiv, og jeg tar alltid en titt på betingelsene før jeg installerer noe nytt. Dette gjelder både i iOS og MacOS. Jeg sjekker også allerede installerte apper om igjen av og til.

      Min oppfatning er at personvern er noe bedre hos Apple, og det kan kanskje illustreres ved Facebooks og andres reaksjoner på innstrammingene gjennom brukertillatelser.

      Jeg har ingen illusjoner om at jeg på noen måte har det personvernet jeg burde hatt, og mener plattformene generelt er et større problem enn «stray apps».

      Jeg legger til grunn at alt jeg gjør digitalt kan spores, og at mye av det kan selges.

      Når det gjelder «privacy statements» blir det litt som menyen hos en restaurant, man ser hva som er der, men menyen forteller ikke hvordan det smaker. En bør ikke ta menyen for god fisk.

      Hadde gjerne sett at plattformene fikk vridd armene på ryggen og ble pålagt en rigid standardisering av betingelsene på linje med f.eks GPL-standardisering + segmentering av paragrafer slik at man lettere kan sortere vekk apper med avvik. Apple har jo på en måte gjort dette mht sporing, men det er langt igjen før personvernet er ivaretatt der også.

    • Det stemmer at Apple med IOS viser at de forsøker i noen tilfeller å drive med personvernende parksis men å fanboye til et lukket ekosystem fordi det er umulig å legge inn apper på det eneste apprepositoriet til OSet er ikke nødvendigvis løsningen. Android som ett operativsystem er ikke i seg selv mer utsatt for dette en IOS.

    • Som H sier, Apple kan fremstå noe bedre, men de holder kortene litt tettere til brystet (som nevnt i artikkelen). Den nye bildesøkfunksjonen kan jo også diskuteres. For folk flest betyr det fint lite hva man velger av iOS og Android, men heller hvordan man bruker det.

      Fordelen med android telefoner er at de kan i mye større grad settes opp til å sikre personvernet, enn iphone. Problemet er bare at det er tidkrevende for «ufaglærte». Den beste beskyttelsen vil alltid være å ikke bruke smartmobil, PC osv.

  1. Tusen takk NRK beta for at dere fortsetter å gi opplysning til folket!

    I mine øyne har Martin rett i alt han skriver, fordi han belyser et kompleks tema uten vemod eller å snakke ned til noen.

    I mine ører er dette et strålende eksempel på god kommunikasjon, en sjelden vare i alle tider, så vel som i denne.

    Fremfor å angripe appene, eller moderfirmaet Huq Industries, så er det en overhengede
    skygge av andre ting som også foregår.

    Det er viktig argument for eierskap Seaon O’Brien er inne på:

    Oppfanging av data som omhandler bevegelsesmønster advares mot å gi til apper er beklageligvis tynt. Og med rette.

    Dette fordi samtalen om hvem somh eier «din» data er diskutert på globalt basis – og det er telecom firma.

    Hvis du vet hvor en person tar med seg sin telefon til enhver tid, så har du allerede mye av dataen du trenger. Uten apps.

    Appene er på en måte mygg i forhold til hva de gigantiske selskaper har av informasjon allerede. Og de startet å lagre den dataen sansynligvis en gang på 1990 tallet, før de visste hva man skulle gjøre med den.

    Tilbake til artikkel:
    Det er stygge apps som kan missbruke dataen din, det er sant.

    Og å selge den urettmessig – eller i beste fall mot din vilje, selv om du trykket «ok» –
    men, .. men men… Det er andre som tar alt og alle.

    Firma som samler inn data om millioner av brukere er ingenting i forhold
    til firma som samler inn data om billioner av brukere.

    Jeg tror jeg falt av toget allerede igjen.

    Enten du vil eller ikke – så er det større fisk som allerede har den dataen vi
    velger å bekymre oss for. Dette tror jeg er det dypere dykket man kan ta
    om man er villig til det. Og også noe forfatter av artikkelen sansynligvis har
    gjort allerede.

    Takk NRK Beta for en finurlig og interessant artikkel som er både velskreven og tydelig.

    Og takk Mr Gundersen

    Svar på denne kommentaren

  2. Sprøtt at klokkeappen til Sony kan spionere på deg. Blir vanskelig å vurdere slikt når selv seriøse produsenter gjør sånt.

    «Digital Clock and Weather com.sonyericsson.digitalclockwidget2»

    Svar på denne kommentaren

    • Det der kan du forvente fra ganske mange og langt større leverandører enn Sony. Har du Samsung eller LG tv må du nok inn på routeren din for å blokkere, og jeg kan ikke tenke meg en Android TV eller Android «Setup box» (eller bil for den del) som ivaretar personvern.

  3. Ole-Martin Lyng

    OBS!
    Var rask med å bli kvitt en QR-code scanner. Den slettet jeg før jeg fikk sjekket om det var den rette.
    Sjekker ikke for spam så ofte, men fikk nylig russisk?/asiatisk? e-poster ufiltrert.

    Takk!
    Lurt ikke å ha for mange apper ja.

    Trodde jeg var godt innafor, men kanskje ikke.

    ubuntu på lap, og str 11-12 i hansker gjør at jeg gjør det meste der.

    beta avd er snart eneste å besøke hos dere – synd!

    Svar på denne kommentaren

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Sean O'Brien er tilknyttet?

Hva er GDPR?

Hvilket land er Huq Industries fra?

Legg igjen en kommentar til Stian M Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.