7 i 10 Smartphone Apps Dela dina data med Tredjepartstjänster
Foton från smartphones är geotagged även när användaren är omedveten. Smartphone-användare kan justera sina integritetsinställningar för att begränsa vem som kan visa sina geografiska platser. (Foto Credit: US Army Graphic)

Våra mobiltelefoner kan avslöja mycket om oss själva: där vi lever och arbetar vem vår familj, vänner och bekanta är; hur (och även vad) vi kommunicerar med dem; och våra personliga vanor. Med all information som lagras på dem är det inte förvånande att användare av mobila enheter vidtar åtgärder för att skydda sin integritet, till exempel med hjälp av PIN-koder eller lösenord att låsa upp sina telefoner.

Den forskning som vi och våra kollegor gör identifierar och utforskar ett betydande hot som de flesta missar: Mer än 70 procent of smartphone-appar rapporterar personuppgifter till tredje parts spårningsföretag som Google Analytics, Facebook Graph API eller Crashlytics.

När folk installerar en ny Android eller iOS-app frågar den användarens tillstånd innan de får tillgång till personlig information. Generellt sett är detta positivt. Och några av de uppgifter som dessa appar samlar in är nödvändiga för att de ska fungera korrekt: En kartapp skulle inte vara nästan lika användbar om den inte kunde använda GPS-data för att få en plats.

Men när en app har tillåtelse att samla in den informationen kan den dela dina data med alla som appens utvecklare vill - att låta företag från tredje part spåra var du är, hur fort du flyttar och vad du gör.

Hjälp och risk för kodbibliotek

En app samlar inte bara data som ska användas på telefonen själv. Kartlägga appar, till exempel, skicka din plats till en server som körs av appens utvecklare för att beräkna riktningar från var du befinner dig till en önskad destination.

innerself prenumerera grafik

Appen kan skicka data någon annanstans också. Som med webbplatser skrivs många mobilappar genom att kombinera olika funktioner, förkodade av andra utvecklare och företag, i så kallade tredje partsbibliotek. Dessa bibliotek hjälper utvecklare spåra användarengagemanget, ansluta till sociala medier och tjäna pengar genom att visa annonser och andra funktioner, utan att behöva skriva dem från början.

Men förutom deras värdefulla hjälp samlar de flesta bibliotek också känsliga data och skickar dem till sina onlineservrar - eller till ett annat företag helt och hållet. Framgångsrika biblioteksförfattare kan kunna utveckla detaljerade digitala profiler för användare. Till exempel kan en person ge en app tillåtelse att känna till deras plats och en annan appåtkomst till sina kontakter. Dessa är ursprungligen separata behörigheter, en till varje app. Men om båda programmen använde samma tredje parts bibliotek och delade olika bitar av information, kunde bibliotekets utvecklare länka bitarna tillsammans.

Användare skulle aldrig veta, eftersom appar inte är skyldiga att berätta för användarna vilka programbibliotek de använder. Och bara få få apps publicerar sin policy om användarskydd. om de gör det är det vanligtvis i långa juridiska dokument en vanlig person kommer inte läsa, mycket mindre förstå.

Utveckla lumen

Vår forskning syftar till att avslöja hur mycket data som potentiellt samlas in utan användarnas kunskaper och att ge användarna större kontroll över deras data. För att få en bild av vad data samlas in och överförs från människans smartphones, vi utvecklade en gratis Android-app av oss, kallade Lumen Privacy Monitor. Den analyserar trafikappsändningen, rapporterar vilka applikationer och onlinetjänster som aktivt skördar personuppgifter.

Eftersom Lumen handlar om öppenhet, kan en telefonanvändare se de information installerade apparna samlar i realtid och med vilka de delar dessa data. Vi försöker visa detaljerna i apps dolda beteende på ett lättförståeligt sätt. Det handlar också om forskning, så vi frågar användarna om de tillåter oss att samla in några data om vad Lumen observerar att deras appar gör - men det innehåller inte personliga eller sekretesskänsliga uppgifter. Denna unika tillgång till data gör det möjligt för oss att studera hur mobila appar samlar in användares personuppgifter och med vilka de delar data i en aldrig tidigare skådad skala.

I synnerhet håller Lumen reda på vilka appar som körs på användarnas enheter, oavsett om de skickar sekretesskänsliga data ut ur telefonen, vilka webbplatser som de skickar data till, nätverksprotokollet de använder och vilka typer av personuppgifter varje app skickar till varje webbplats. Lumen analyserar apps trafik lokalt på enheten och anonymiserar dessa data innan de skickas till oss för studier: Om Google Maps registrerar en användares GPS-position och skickar den specifika adressen till maps.google.com, säger Lumen till oss "Google Maps fick en GPS-plats och skickade den till maps.google.com "- inte där den personen faktiskt är.

Trackers är överallt

Mer än 1,600-personer som har använt Lumen sedan oktober 2015 tillät oss att analysera mer än 5,000-appar. Vi upptäckte att 598-webbplatser skulle kunna spåra användare för reklamändamål, inklusive sociala medier som Facebook, stora internetföretag som Google och Yahoo, och marknadsföringsföretag på internet under paraplyet av internetleverantörer som Verizon Wireless.

Vi hittade det mer än 70 procent av de appar som vi studerade ansluten till minst en spårare och 15 procent av dem anslutna till fem eller flera spårare. En av fyra trackers skördade åtminstone en unik identifieringsenhet, till exempel telefonnummer eller dess Enhetsspecifik unikt 15-siffrig IMEI-nummer. Unika identifierare är avgörande för online-spårningstjänster eftersom de kan ansluta olika typer av personuppgifter som tillhandahålls av olika appar till en enskild person eller enhet. De flesta användare, även sekretesskunniga, är inte medvetna om de dolda metoderna.

Mer än bara ett mobilt problem

Spårning av användare på sina mobila enheter är bara en del av ett större problem. Mer än hälften av de app-trackers vi identifierade spårar också användarna via webbplatser. Tack vare denna teknik, kallad "cross-device" -spårning, kan dessa tjänster bygga en mycket mer komplett profil för din online persona.

Och enskilda spårningsplatser är inte nödvändigtvis oberoende av andra. Vissa av dem ägs av samma företagsenhet - och andra skulle kunna sväljas i framtida fusioner. Till exempel äger Alphabet, Googles moderbolag, flera av de spårningsdomäner som vi studerade, inklusive Google Analytics, Double eller AdMob, och via dem samlar data från mer än 48 procent av de appar som vi studerade.

Användarnas onlineidentiteter skyddas inte av deras hemlands lagar. Vi hittade data som sänds över nationella gränser, som ofta hamnar i länder med tvivelaktiga integritetslagar. Mer än 60 procent av anslutningar till spårningsplatser görs till servrar i USA, Storbritannien, Frankrike, Singapore, Kina och Sydkorea - sex länder som har installerat massövervakningsteknik. Statliga myndigheter på dessa platser kan eventuellt få tillgång till dessa uppgifter, även om användarna är inne länder med starkare privatlivslagar som Tyskland, Schweiz eller Spanien.

Ansluta en enhetens MAC-adress till en fysisk adress (tillhör ICSI) med Wigle.
Ansluta en enhetens MAC-adress till en fysisk adress (tillhör ICSI) med Wigle. ICSI, CC BY-ND

Ännu mer störande har vi observerat trackers i appar riktade till barn. Genom att testa 111 barns appar i vårt laboratorium såg vi att 11 av dem läckte en unik identifierare, den MAC-adress, av Wi-Fi-routern den var ansluten till. Detta är ett problem, för det är lätt att sök på nätet för fysiska platser associerade med särskilda MAC-adresser. Att samla in privat information om barn, inklusive deras plats, konton och andra unika identifierare, potentiellt bryter mot Federal Trade Commission regler som skyddar barns integritet.

Bara en liten titt

Även om våra data innehåller många av de populäraste Android-appar, är det ett litet urval av användare och appar, och därför är det sannolikt en liten uppsättning av alla möjliga trackers. Våra resultat kan bara skrapa ytan på det som sannolikt kommer att bli ett mycket större problem som sträcker sig över reglerade jurisdiktioner, enheter och plattformar.

Det är svårt att veta vad användarna kan göra med det här. Att blockera känslig information från att lämna telefonen kan påverka appens prestanda eller användarupplevelse: En app kan vägra att fungera om den inte kan ladda annonser. I själva verket hindrar blockering av annonser apputvecklare genom att neka dem en inkomstkälla för att stödja sitt arbete på appar, som vanligtvis är gratis för användare.

Om folk var mer villiga att betala utvecklare för appar kan det hjälpa, men det är inte en komplett lösning. Vi fann att medan betalade appar tenderar att kontakta färre spårningsplatser, spårar de fortfarande spårning av användare och ansluts till spårningstjänster från tredje part.

AvlyssningenGenomskinlighet, utbildning och starka regleringsramar är nyckeln. Användare behöver veta vilken information om dem samlas in, av vem och vad den används för. Först då kan vi som samhälle bestämma vilka skydd för privatlivet som är lämpliga och sätta dem på plats. Våra resultat, och många andra forskares, kan hjälpa till att vända borden och spåra spårarna själva.

Om Författarna

Narseo Vallina-Rodriguez, forskningsassistent, IMDEA Networks Institute, Madrid, Spanien; Forskningsforskare, Nätverk och Säkerhet, Internationell datavetenskapsinstitut baserat på, University of California, Berkeley och Srikanth Sundaresan, forskare i datavetenskap, Princeton University

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

Relaterade böcker:

at InnerSelf Market och Amazon