Mobil sundhedsapplikationer sætter personoplysninger om millioner af brugere i fare

80 procent af de mest populære sundhedsapplikationer, der findes på Android, overholder ikke standarder, der har til formål at forhindre misbrug og spredning af brugerdata. Dette er konstateringen af ​​en europæisk undersøgelse, der blev startet i 2016 med Agusti Solanas og Constantinos Patsakis. Forskningen har vist beviser for alvorlige sikkerhedsproblemer vedrørende de 20 mest populære applikationer på internettet. Undersøgelsen bestod i at analysere sikkerhedsproblemerne, kommunikere dem til softwareudviklerne og derefter kontrollere dem for at se, om de var blevet løst.

De af forskerne valgte applikationer var blevet downloadet mellem 100, 000 og 10 millioner gange og havde en minimumskarakter på 3,5 ud af 5. For at analysere deres sikkerhedsniveauer, forskerne opfangede, gemt og overvåget private data vedrørende brugernes helbredsproblemer, sygdomme og journaler. Forskerne analyserede, hvordan applikationerne kommunikerede, hvordan de gemte oplysninger, hvilke tilladelser de krævede for at drive, og hvordan de håndterede dataene. Resultaterne viste, at der var alvorlige sikkerhedsproblemer i håndteringen af ​​brugerdata.

Kun 20 procent af applikationerne lagrede dataene på smartphonen, og en ud af to anmodede og administrerede adgangskoder uden at bruge en sikker forbindelse. Forskerne fandt også ud af, at 50 procent af applikationerne delte data med tredjeparter, herunder tekst og multimedieindhold.

Mere end halvdelen overførte brugernes sundhedsdata via HTTP -links, hvilket betyder, at alle med adgang kunne få fingrene i dataene. 20 procent af applikationerne informerede ikke brugeren om nogen fortrolighedspolitik, eller indholdet var ikke tilgængeligt på engelsk, applikationens sprog. Andre anmodede om adgang til geolocation, mikrofoner, kameraer, kontaktlister, eksterne lagerkort og Bluetooth, selvom applikationen ikke havde brug for adgang til disse data for at fungere.

Efter afslutningen af ​​analysen, forskerne kontaktede softwareudviklerne for at informere dem om sikkerhedsproblemerne. Efter at have ventet i en given periode, de analyserede derefter de samme parametre og fandt ud af, at selvom nogle af sikkerhedsproblemerne var blevet rettet (f.eks. usikre sundhedsdataoverførsler eller evnen til at identificere brugere via usikre dataoverførsler til tredjemand), andre problemer såsom datalækager vedrørende brugen af ​​applikationen var ikke blevet løst.