Te aplikacje przekazują Facebookowi Twoje dane, nawet jeśli nie masz na nim konta
Niektóre z popularnych aplikacji na smartfony z Androidem – w tym Spotify, SkyScanner i MyFitnessPal – przekazują szczegółowe informacje Facebookowi, nawet jeśli ich użytkownicy nie mają na nim konta – wynika z badania Privacy International.
Od latarki w smartfonie do kalendarzyka menstruacyjnego
Chcąc dowiedzieć się, jakie faktycznie dane przekazywane są do Facebooka, badacze z Privacy International – Frederike Kaltheuner i Christopher Weatherhead – przyjrzeli się bliżej 34 popularnym aplikacjom na Androida, począwszy od pozornie nieszkodliwej aplikacji latarki „Super-Bright LED Flashlight” po bardziej osobiste aplikacje religijne czy kalendarzyki służące do obliczania terminu miesiączki.
Okazało się, że ponad 61 procent aplikacji dzieli się informacjami z Facebookiem już od samego początku, nawet zanim użytkownik będzie mógł zdecydować, czy chce się do nich zalogować przez serwis Zuckerberga, nie mówiąc już o wyrażeniu zgody na przetwarzanie swoich danych osobowych. Dzieje się tak pomimo szumnych deklaracji twórców oprogramowania mobilnego, którzy twierdzą, że ochrona danych jest dla nich najwyższym priorytetem.
Dla przykładu, aplikacja służąca do wyszukiwania ofert turystycznych Kayak na ekranie początkowym zapewnia użytkownika, że nie będzie udostępniać żadnych danych bez jego wyraźnej zgody. Jak wynika jednak z raportu Privacy International, jest zupełnie inaczej, gdyż już w tym momencie (tj. wyświetlania się ekranu początkowego) dane są przekazywane w tle Facebookowi.
Zbiory informacji, które trafiały do firmy Zuckerberga, zawierały m.in. nazwę aplikacji, unikalny identyfikator użytkownika do obsługi reklam Google oraz liczbę razy, kiedy aplikacja była otwierana i zamykana od momentu jej pobrania z Google Play. Niektóre z tych aplikacji, m.in. wspomniany już Kayak, przesyłały później bardzo szczegółowe informacje o wyszukiwaniu połączeń lotniczych przez swoich użytkowników, włączając w to datę podróży, to, czy dana osoba posiada dzieci oraz jakie inne cele podróży były przez nią wcześniej wyszukiwane.
“Ważne jest, aby pamiętać, że dzieje się tak bez względu na to, czy jesteś użytkownikiem Facebooka czy nie” – powiedział cytowany przez francuski dziennik “Le Monde” Christopher Weatherhead podczas konferencji CCC w Lipsku.
Deanonimizacja
Niepokojącym zjawiskiem dla badaczy jest również tzw. deanonimizacja danych, czyli praktyka łączenia otrzymanych danych osobowych z konkretnym użytkownikiem.
Privacy International podało przykład użytkownika, który pobrał na swój smartfon aplikacje Indeed (popularna wyszukiwarka ofert pracy), Qibla Connect (aplikacja do modlitwy dla muzułmanów) oraz Period Tracker Clue (kalendarz miesiączkowy). Wszystkie wspomniane aplikacje wysyłają informacje do Facebooka zaraz po tym, jak dana osoba uruchomi zainstalowany program na swoim smartfonie.
Zebrane w ten sposób przez badaczy dane mogą wskazywać, że użytkownik jest muzułmanką szukającą pracy. Warto przy tym zauważyć, że informacje dotyczące wyznawanej religii (dane wrażliwe) są pod szczególną ochroną unijnych przepisów ochrony danych osobowych (w Europie RODO, w USA – HIPPA).
Dogłębna analiza ruchu aplikacji wykazała, że w oparciu o zbierane dane tworzone są profile użytkowników bez pytania ich o zgodę na ten proces. “Aplikacja Muslim Pro oznajmiła mi, że nie jestem dzieckiem, chociaż nigdy mnie o to nie pytano” – zauważył Christopher Weatherhead. Jak dodał, wydaje się, że niektórzy deweloperzy próbują ominąć wyraźne życzenie użytkowników, aby ich dane nie były gromadzone – na przykład jedna z aplikacji nagle zaczęła przekazywać znacznie więcej informacji do trackerów reklamowych osobie, która dezaktywowała spersonalizowaną reklamę.
RODO
Po wdrożeniu w UE 25 maja 2018 roku Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) deweloperzy muszą uzyskać wyraźną zgodę użytkowników przed zebraniem i dalszym przekazywaniem ich danych osobowych. W przeciwnym razie może im grozić wysoka kara, która zgodnie z obowiązującymi przepisami może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która kwota jest wyższa.
Frederike Kaltheuner, która przeprowadzała badanie, podkreśliła, że jakkolwiek odpowiedzialność za przestrzeganie przepisów spoczywa w całości na twórcach aplikacji, jednak to właśnie twórcy facebookowego Software Development Kit (SDK) nie zaimplementowali możliwości wyrażenia zgody użytkownika przed przekazaniem niektórych rodzajów danych osobowych.
“Co najmniej cztery tygodnie przed wejściem w życie przepisów unijnego rozporządzenia RODO nie można było nawet poprosić o taką zgodę ze względu na domyślne ustawienia SDK Facebooka. Oznacza to, że dane są automatycznie przekazywane w momencie otwarcia aplikacji” – podkreśliła Kaltheuner.
Deweloperzy już od wielu miesięcy skarżyli się na ten problem, wysyłając raporty na platformie deweloperskiej Facebooka, w których stwierdzali, że w związku z przestarzałym SDK nie mogą przestrzegać obowiązującego prawa.
“Cześć wszystkim. Przeanalizowaliśmy aktywność sieciową SDK Facebooka i stwierdziliśmy, że tuż po uruchomieniu aplikacji wysyła ona kilka zapytań do strony graph.facebook.com. Wydaje się to naruszać RODO; nie możemy wysyłać żadnych informacji o użytkowniku, dopóki on nam na to nie pozwoli. Czy mógłbyś to naprawić lub potwierdzić, że takie żądania nie naruszają RODO?” – zapytał jeden z cytowanych przez dziennik „Financial Times” programistów.
Kilka tygodni później Facebook oświadczył, że wydał stosowną poprawkę, ale deweloperzy będą musieli ręcznie pobrać aktualizację, aby z niej skorzystać. Jak się jednak okazało, programiści dalej zgłaszali problemy z działaniem SDK i nie jest do końca jasne, co zostało zmienione i czy aktualizacja przyniosła pożądane rezultaty.
“Sześć miesięcy po wydaniu aktualizacji wciąż widzimy bardzo mało dowodów na to, że deweloperzy ją wdrażają. Spośród wszystkich aplikacji, które przetestowaliśmy, 67,7 procent z nich automatycznie przesyła dane do Facebooka w momencie uruchomienia aplikacji” – napisano w raporcie Privacy International.
Kwestia odpowiedzialności jest złożona
Kto więc prawnie odpowiada za zgromadzone dane osobowe? Frederike Kaltheuner przyznaje, że problem jest “złożony”. Zgodnie z obowiązującymi przepisami RODO w większości przypadków należy uzyskać zgodę osoby fizycznej przed gromadzeniem jej danych osobowych. Zasada ta nie zawsze jest jednak przestrzegana, zwłaszcza gdy dane są wysyłane natychmiast po uruchomieniu aplikacji i bez jakiejkolwiek zgody ze strony użytkownika. Dla Facebooka to twórcy aplikacji są odpowiedzialni za wszystkie dane, które do nich docierają.
Według Privacy International narzędzia udostępnione przez Facebooka deweloperom już po wdrożeniu przepisów RODO nie działają tak, jak powinny. Serwis Zuckerberga oferuje również możliwość ograniczenia gromadzenia danych osób, które nie są zarejestrowane, jednak w ocenie badaczy “nie ma to widocznego wpływu na ilość udostępnianych danych”.
Badacze w toku prowadzonego śledztwa udowodnili, że liczne aplikacje wysyłają szczegółowe dane do Facebooka, jednak – jak sami przyznają – bez większej przejrzystości ze strony tego serwisu społecznościowego “nie wiadomo, w jaki sposób wykorzystywane są opisane przez nas dane”.
Facebook i deweloperzy nabierają wody w usta
Rzecznik Facebooka poinformował przy tej okazji, że deweloperzy mogą już wyłączyć automatyczne zbieranie danych, a nowa funkcja pozwala programistom na opóźnienie zbierania informacji analitycznych przez aplikacje.
Okazuje się jednak, że wiele aplikacji dostępnych na Androida nadal korzysta ze starszej wersji SDK, co uniemożliwia skorzystanie z nowych funkcji.
“Przed wprowadzeniem funkcji “Opóźnienia”, programiści mieli możliwość wyłączenia automatycznego rejestrowania zdarzeń za wyjątkiem sygnału, że SDK jest zainicjowany. Po czerwcowej zmianie naszego SDK usunęliśmy z niego sygnał, że SDK został zainicjowany, dla deweloperów, którzy wyłączyli automatyczne rejestrowanie zdarzeń” – napisał Facebook w e-mailu skierowanym do Privacy International.
Do sprawy odniósł się także serwis Spotify w pisemnej korespondencji mailowej, stwierdzając, że trwają prace nad oceną wyników badań uzyskanych przez Privacy International.
“Pracujemy obecnie nad oceną wyników Privacy International (…) i zrozumienia kontekstu, w jaki sposób dane są przekazywane do graph.facebook.com. W razie potrzeby dokonamy również oceny, czy w ramach integracji z Facebookiem należy wprowadzić zmiany. Z uwagi jednak na to, że jest to technicznie skomplikowana i ważna materia, jest mało prawdopodobne, aby ta ocena została dokonana przed opublikowaniem przez Państwa organizację raportu” – oświadczyła firma Spotify.
Z kolei rzecznik SkyScannera utrzymuje, że jego firma nie miała pojęcia o tym, że dane użytkowników przesyłane są do Facebooka.
W świetle powyższych doniesień nietrudno o wniosek, że najbezpieczniejsze dla naszej prywatności wciąż pozostaje korzystanie ze starego dobrego desktopa, a aplikacje mające ułatwiać nam życie wcale nie po to powstały. Z drugiej jednak strony praktyka życia codziennego wskazuje, że coraz łatwiej zapomnieć nam o tym, iż „nie ma darmowych obiadów”.
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
To nie jest tak, że coraz łatwiej nam zapomnieć, tylko tych sposobów zbierania danych jest tyle, że głowa boli. Np. Spotify premium to nie darmowy obiad. Na szczęście również i wy przyczyniacie się do tego, że użytkownicy dowiadują się, co jest grane w tle.
Exodus privacy daje pewne pojęcie, które aplikacje bardziej śledzą użytkowników. Np. do niedawna aplikacja Jakdojade miała w środku 24 trackery.
Jeśli Spotify działa na SDK facebooka to premium nic nie da w temacie prywatności.
RODO bylo juz trupem przed wejsciem w zycie. Mowilem o tym glosno. Do dzis pamietam jak pewien prowadzacy glupawe seminarium strasznie sie tym oburzal, pitoloac jakie to wspaniale rzeczy RODO wniesle dla ludzi. Pozniej jak przyszlo co do czego, gdy ta durna „wiedza” miala byc wykorzystania w praktyce, zniknal on i jego caly smieszny zespol „profesjonalnych” prawnikow. Biedny duren. Takich wiekszosc.
jak myślisz że RODO nie działa to chyba nie wiesz jaka była panika w korporacjach :)
Co ma piernik do wiatraka. Panika byla i co z niej wyniklo? No co?
Jak to co… Więcej spamowych popupów na stronach bezlitośnie blokujących dostęp do treści strony i bezlitośnie zmuszających do ich kliknięcia… No jeden plus jaki widzę po RODO to to, że gdy ktoś do mnie dzwoni z ofertą garnków to gdy wymagam informacji skąd mają zgodę na dzwonienie do mnie to przestają dzwonić :) Poza tym wszystkim, z punktu zwykłego szarego użytkownika, nie widzę nic naprawdę super w RODO – nic co by naprawdę sprawiło, żebym czuł, że ja i moje dane czuł się naprawdę bezpieczny.
To jak żyć ?
„W świetle powyższych doniesień nietrudno o wniosek, że najbezpieczniejsze dla naszej prywatności wciąż pozostaje korzystanie ze starego dobrego desktopa, a aplikacje mające ułatwiać nam życie wcale nie po to powstały. Z drugiej jednak strony praktyka życia codziennego wskazuje, że coraz łatwiej zapomnieć nam o tym, iż „nie ma darmowych obiadów”.
A desktopowe Spotify nie wysyla nic do FB?
Dobre pytanie. Są jakieś informacje na ten temat?
Jak zablokujesz regułkami na firewallu to nie wyśle. Właśnie to trzeba robić. Zero zaufania do takich serwisów.
Ta, zablokowac Spotify na firewallu. Wez sobie przegladarki najlepiej zablokuj na firewallu to nie bedzie trzeba czytac takich glupot.
Chyba nie przeczytales ze zrozumieniem, ani komentarza, ani artukulu.
Chodzi i zablokowanie dostepu do domeny „graph.facebook.com”.
Rownie dobrze mozna to zrobic przez plik „hosts”.
Gdyby to bylo takie proste, to byloby juz zaimplementowane we wszsytkich wspomnianych apkach.
RODO nie zabrania zbierania danych do celów marketingu lub innych działań O ILE danych tych nie można bezpośrednio z „imienia i nazwiska” wskazać. Mogą nawet profilować i wyświetlać reklamy pod warunkiem, że dane nie będą służyły do automatycznego podejmowania decyzji np. odrzucenia wniosku kredytowego. Wysyłanie „pixela” odbywa się na większości stron internetowych i aplikacji i ma swój „uzasadniony interes prawny” – reklamy lub przekazywnaie anonimowych danych w postaci ID reklamowego i parametrów utrzymują ich przy zyciu. Zawsze jak ktoś mi mówi, że to ZŁO niech sciagnie przegladarke i wytrzyma miesiac yylko to na niej z wyłączonymi ciasteczkami – wiekszosc nie wytrzyma tygodnia, a powodem będzie m.in. brak możliwości logowania lub ciągle wylogowywanie z usług, reklamy „unsort” czyli takie które ciężko przypisać i najtańsze w stylu „pozbyłem się raka w tydzień”. Legalizacja tych działań i jedyne co do czego można się przyczepić to brak „tabeli partnerów” lub „tabeli cookies” ew prostego wytłumaczenia w regulaminie/polityce jak działa poszczególne trackery i dane które wysyłają oraz co się z nimi wiąże. A skoro jesteśmy przy aplikacjach mobilnych – jakiś czas temu było głośno o tym, że Google udostępnia dane billingowe (imię nazwisko adres, email) każdej osoby, która kupi od niego cokolwiek w sklepie Play :) podejrzewam że dalej tak jest, ale dużo lepszym tematem bylo by zainteresowanie się tym – tutaj już mamy większe pole do nadużyć. Wystarczy zrobić jedną chwytliwa apke/ebooka i zbierać dane setek czy tysięcy osób ;)
Ciasteczka można filtrować selektywnie, a reklam w ogóle nie oglądać. W telefonie nie jest niezbędne używanie WWW Google’a kiedy ma się Androida, a bez konta Google’a pewnie nie ma się ID reklamowego. Kiedy miałem Androida wystarczał mi F-Droid, tylko okazjonalnie potrzebowałem czegoś innego. Chciałem kiedyś pobrać program ostrzegający o zagrożeniach, ale ponieważ był dostępny tylko przez Google’a, zrezygnowałem z powodu zagrożenia. Ale gdybym się uparł mógłbym użyć bramki.
Teraz mam telefon z prawdziwym Linuksem.
A mozna wieciej na temat tego telefonu… nie jeden z nas pewnie by sie chetnie przesiadl.
Masz ciasteczko reklamowe lub zapisywany jest Twój fingerprint nawet bez konta. W końcu reklamy mogą być dopasowane na podstawie szczątkowych danych. Podobnie jednak jak na Facebooku – jeżeli nie masz konta nie możesz pobrać swoich preferencji reklam, zmienić ich czy zablokować jakkolwiek reklam opartych o zainteresowania.
Ciasteczka mozna kasowac po zamknieciu przegladarki, a do reklam jest ublock origin. Nie wyobrazam sobie bez niego zycia.
Jednym i drugim dowalić po 20mln. Jedni, że nie potrafią poprawić, a drudzy, że z błędnego korzystają (ktoś ich zmusza?).
Dokładnie. Mieli wystarczająco dużo czasu na przygotowanie się do RODO. Nie zrobili tego, to kara. Proste.
A jak to się wszystko ma do IOS?
Jest lepiej?
Korzystam ze Spotify. Ale za wszelką cenę unikam Facebooka. W związku z tym trochę się zdenerwowałem. Co mogę zrobić, żeby blokować w telefonie taką aktywność aplikacji?
1. Macie literówkę w „HIPPA” -> powinno być HIPAA (no chyba ze mowa o https://en.wikipedia.org/wiki/Hippa ;))
2. W jaki sposób HIPAA chroni religię? Z tego co mi wiadomo tylko PHI podlega pod HIPAA a religia nie jest traktowana jaki PHI jeśli nie jest częścią wywiadu medycznego
Dla mnie sprawa jest jasna.
Odpowiada osoba, która aplikację stworzyła (ostatnie ogniwo).
To ona ma wpływ na to, jakich bibliotek i co zawarła w swojej aplikacji.
Zrzucanie winy na Facebooka jest śmieszne.
Nie ma obowiązku korzystania z SDK Facebooka w swoich aplikacjach.
Umieszczając biblioteki w swoich aplikacjach muszę brać za to odpowiedzialność.
I co teraz?
Czy ktos kto nie uzyskal zgody a udostepnia dane dostanie upomnienie, karę, naganę?
to jest sedno. Jesli nic sie nie stanie nie ma problemu. po prostu trzeba to bedzie wycinac.
Ale wtedy moze byc problem z blokowaniem
Czy otwieranie FB w przeglądarce przeznaczonej tylko dla tej strony (na komórce) jakoś ograniczy szpiegowanie przez fejsa? Czy FB jakimś magicznym sposobem i tak pobiera info z telefonu?
Użycie innej przeglądarki nic nie da – pobierany jest identyfikator Twojej konkretnej instancji systemu. Jeśli np. użyjesz jednej przeglądarki i wejdziesz na FB, to ich bardziej interesuje Twoje urządzenie, żeby profilować treść. Tutaj sprawa bardziej dotyczy innych aplikacji, które przekazują dane do FB, ale zasada jest podobna. Np. korzystasz z aplikacji X, nie masz konta na FB – aplikacja X przekazuje dane do FB, zakładasz konto na FB – FB od razu wie, że korzystałeś z aplikacji X i profiluje treść.
Śledzenie przez aplikacje mobilne nie ogranicza się tylko do aplikacji, z których korzystasz. Np. galerie handlowe zlecają różnym firmom analitycznym utworzenie zestawienia migracji klientów między galeriami – jest to możliwe, ponieważ różne aplikacje typu Rossmann, Reserved itp. zbierają nazwy sieci WiFi, z których korzystamy. Przykładowo: jeżeli będąc w galerii X masz odpaloną apkę i korzystasz z sieci WiFi w galerii, to aplikacja od razu zbiera tę informację do jakiejś bazy/chmury, wszystkie jest przypisywane do Twojego identyfikatora systemu. Później, będąc w galerii Y, korzystając z WiFi odpalasz np. apkę Reserved – zakładając, że obie apki mają wgrane te same SDK, możliwe jest ogarnięcie, że jednego dnia byłeś w galerii X, a drugiego w Y.
Podajcie mi all hosty bądź pule adresów twarzoksązki a spreparuję listę ochraniająca nas przed tym syfem
Jak to dobrze, że nie mam i nigdy nie miałem smartfona. Jednak telefon powinien służyć wyłącznie do dzwonienia i smsów.
I smartfon, i zwykły telefon są tak samo namierzane przez operatora sieci komórkowej, który te dane o lokalizacji gromadzi i udostępnia służbom.
Na smartfonie można używać zaszyfrowanego komunikatora (np. Signal, Wire czy Whatsapp), na zwykłym telefonie narażonym się jest na podsłuch treści rozmów.
Dlatego najlepiej używać dobrze zabezpieczonego smartfona. Najlepiej najnowszego iPhone’a albo LineageOS na telefonach „androidowych”. Plus oczywiście odpowiedni komunikator.
„Najlepiej najnowszego iPhone’a albo LineageOS na telefonach „androidowych”.” = czysty w formie, nieskalany niczym poziom lemingowstwa.
Możesz rozwinąć? Mile widziany konstruktywny wywód na temat tego, jaki telefon jest najlepszy, by zapewnić poufność treści rozmów (bo zapobiec śledzeniu lokalizacji się po prostu nie da).
Właśnie najlepszy jest zwykły telefon zamiast smartfonu, gdzie możliwość śledzenia i zbierania danych ma jedynie operator, jego infrastruktura (co niekoniecznie jest tożsame) ewentualnie producent telefonu.
Jak to jest z aplikacją Mój Sejf (następca Knox-a) Samsunga i podobnymi?
Czy uruchomienie aplikacji w takim kontenerze (czy to dobre słowo w tym przypadku?) spowoduje to, że przesłany identyfikator reklamowy będzie inny, w sensie niemożliwy do powiązania z innymi „moimi” identyfikatorami reklamowymi?
Czy istnieje jakaś możliwość zablokowania takiego ruchu sieciowego (poprzez VPN, własny DNS – tak jak pi-hole blokuje reklamy)?
W takim przypadku przydała by się lista takich apk. Po za tym. Co w tym dziwnego? Każdy chce zarabiać. A jakoś nie widzę tego aby twórca aplikacji był w stanie zarobić tylko na niej,czy też dodatkowo na reklamach jakie wciskamy są w aplikację. Ale by nie były wysyłane żadne informacje z aplikacji należało by ją porostu przerobić na swoją potrzebę. Lecz z czymś takim bez wiedzy nie ma się ruszyć. A tej że brakuje większości ludzi. Sam kiedyś szukałem informacji o tym jak pozbyć się reklam z mojej ulubionej aplikacji,i nie jest ona grą. I nie była w wersji płatnej. Pozdrawiam .