Hvordan dagplejeapps kan spionere på forældre og børn

Dagplejeapps er designet til at gøre hverdagen i daginstitutioner nemmere. Forældre kan f.eks. bruge dem til at få adgang til rapporter om deres børns udvikling og til at kommunikere med lærere. Nogle af disse applikationer har dog alvorlige sikkerhedsfejl. Sådan konkluderes forskere fra Ruhr-Universität Bochum (RUB), Westfälische Hochschule og Max Planck Institute for Security and Privacy i Bochum i samarbejde med en industripartner. De analyserede 42 dagplejeapps fra Europa og USA med hensyn til sikkerhed og privatliv. I nogle apps var de i stand til at få adgang til private billeder af børnene; flere apps fik adgang til brugernes personlige data uden samtykke og delte dem med tredjeparter.

Holdet ledet af Dr. Matteo Große-Kampmann, som fik sin Ph.D. ved Horst Görtz Institute for IT Security på RUB, og Dr. Maximilian Golla fra Max Planck Institute for Security and Privacy vil præsentere deres resultater i juli 2022 i Sydney på "22nd Privacy Enhancing Technologies Symposium". Inden da er resultaterne blevet offentliggjort online.

"Ifølge European General Data Protection Regulation og US Children's Online Privacy Protection Act er børns data underlagt særlig beskyttelse," siger Maximilian Golla. "Desværre fandt vi ud af, at mange apps ikke garanterer denne beskyttelse."

Analyserne er udført i samarbejde med AWARE7 GmbH. Holdet kontaktede alle app-producenter før offentliggørelsen og gjorde dem opmærksomme på sårbarhederne.

Brugt af millioner

Til undersøgelsen analyserede forskerne Android-dagplejeapps, som de fandt i Google Play Butik, og som tilbyder mindst følgende funktioner:både børnenes udvikling og eventuelle særlige aktiviteter kan optages i appen i form af noter, billeder og videoer; appen har en messenger-funktion, hvorigennem dagplejepersonalet kan kommunikere med forældrene; appen understøtter dagplejens ledelse i administrative processer såsom fakturering, oprettelse af skemaer og organisering af grupper. De mest udbredte apps "Bloomz" og "brightwheel" er blevet downloadet mere end en million gange fra Google Play Butik. Tilsammen nåede alle apps omkring tre millioner downloads.

I nogle tilfælde sælges personlige data

Af de analyserede apps havde otte alvorlige sikkerhedsproblemer, der for eksempel ville give angribere mulighed for at se børns private billeder. I 40 apps fandt forskerne ud af, at de overvåger forældre og pædagoger:De indsamler brugerens telefonnummer og e-mailadresse samt oplysninger om enheden og brugen af ​​appen, såsom tidspunktet, hvor der blev klikket på en knap. Producenterne deler og sælger denne og andre oplysninger til tredjepartsudbydere. En app-udvikler skriver:"... del data med partnere til forretningsformål, såsom det gennemsnitlige antal bleskift pr. dag...". Ofte deles dataene med Amazon, Facebook, Google eller Microsoft til målrettede reklamekampagner.

Utilstrækkelige privatlivspolitikker

"Vi har også set på udbydernes privatlivspolitikker," påpeger Maximilian Golla. "Og et skræmmende billede dukkede op. Mange af politikkerne nævnte ikke engang, at de behandler børns data, endsige at de indsamler og sælger data, selvom de er forpligtet til det i henhold til europæisk og amerikansk lovgivning."

Men det betyder ikke nødvendigvis, at udbyderne handler i ond tro. "Vi har snarere mistanke om, at det er et spørgsmål om tekniske og organisatoriske problemer," siger Matteo Große-Kampmann. Ifølge forskerne handler nogle udbydere uagtsomt, fordi den tilknyttede privatlivspolitik ikke er kompatibel, dels fordi den ikke indeholder oplysninger om databehandling i appen eller om de tilbudte tjenester og ofte ikke er blevet opdateret i mange år.

Forskerne håber, at deres resultater vil henlede opmærksomheden på dette følsomme emne, da børns data er på spil. "Det siger sig selv, at daginstitutionsledere, dagplejere og forældre ikke selv kan analysere hver enkelt app," siger Matteo Große-Kampmann. "Men i sidste ende er de nødt til at tage ansvaret for beslutningen om, hvilken app de skal bruge."

Retningslinjer og tjeklister

Ifølge Maximilian Golla er det principielt ikke en praktisk løsning at afvise dagplejeapps, især fordi der findes udbydere uden sikkerhedsproblemer, som overholder databeskyttelsesforskrifterne. "Hvis der ikke er en officiel app, bruger forældre messenger-tjenester som WhatsApp, hvilket er den værste af alle løsninger, hvad angår privatlivets fred," påpeger han.

Ifølge it-eksperterne vil det være en god idé, at eksperter udarbejder retningslinjer og tjeklister. For eksempel kunne statslige instanser komme med anbefalinger og videregive dem til de foreninger, der driver daginstitutionerne.