9 av 10 populäraste apparna i Sverige läcker användarnas känsliga data

De mest nedladdade apparna inom bank, vård, hälsa, livsmedel och utbildning skickar vidare användarnas känsliga data. I de flesta fall till mottagare utanför EU:s jurisdiktion och även om användaren uttryckligen sagt nej. Det visar en granskning från Shibuya och Peak Privacy.

”Problemet gäller många av de appar vi använder i vardagen, men blir särskilt allvarligt när det rör samhällsbärande tjänster som vi ska kunna lita på fullt ut. Tidigare avslöjande visar att datan kan användas för att kartlägga både känsliga verksamheter och individers rörelser och ageranden”, säger Andreas Lundgren, ansvarig för compliance och security på svenska molnleverantören Shibuya.

Granskningen omfattar de 75 mest använda apparna inom bank/finans, vård, utbildning, hälsa och livsmedel. Totalt skickar 87 procent av apparna data till externa aktörer och 95 procent av dessa överför information till länder utanför EU, främst USA och Kanada.

Bank- och livsmedelsapparna utmärker sig genom att samtliga granskade appar gör så kallade tredjepartsanrop. I övriga kategorier gäller det majoriteten av apparna.

Analysen har genomförts i Peak Privacys testmiljö, där apparna körs och deras nätverkstrafik loggas autonomt. All trafik som dokumenterats har skickats utan användarens samtycke, antingen för att samtycke nekats, eller för att appen aldrig frågat. Testmiljön har bland annat identifierat nätverksanropen och mottagarna för datapaketen, deras geografiska placering och vilken typ av data det handlar om.

"De flesta app-utgivare vet inte vad deras egen app gör i bakgrunden. Färdiga komponenter följer med från utvecklare och leverantörer, ofta utan att den som publicerar appen vet vad de skickar eller till vem. Det är där den globala adtechindustrins infrastruktur kommer in i appar som annars inte har någonting med reklam att göra", säger Vibeke Specht, dataskyddsspecialist, medgrundare till Peak Privacy och författare till boken "From GDPR Confusion to Privacy First Marketing".

I granskningen identifieras också appar med jämförelsevis stark integritet och säkerhet. En av dessa är vårdföretaget Krys app, Sveriges mest använda vårdapp. Vid granskningen gjorde varken anrop till tredjepartsnätverk för annonsering eller spårning av användarens beteende. All trafik gick till Krys egna servrar inom EU/EES. 

”Kvalitet och säkerhet är grundstenar i sjukvården och för Kry är det därför en självklarhet att vår app ska följa de krav som patienterna förväntar sig. Den höga säkerhetsnivån bygger dels på den kompetens som finns inom Kry, dels på att vi sedan starten 2015 konsekvent har prioriterat säkerhet och skyddet av våra användares integritet”, säger Andreas Mattsson, chief architect på Kry.

Data från appar är bara toppen av isberget när det kommer till integritet och säker datahantering, menar Andreas Lundgren:

”Samma mönster kan skönjas i många företags hantering av sin egen, affärskritiska data. Cyberresiliens handlar ytterst om kontroll, om var den lagras och övervakas. Genom att ta tillbaka kontrollen över datan skapar vi företag och ett samhälle som bättre kan stå emot hotbilder.”

För mer information

Bjarne Darwall
Chief Marketing & Communications Officer
0700-870009
bjarne.darwall@pulsen.se