Tredjepartsappar kartlägger dina rörelser – säkerhetsrisk

Dagens Nyheter har gjort ett bra reportage om hur olika tredjeparts installerade appar på våra smartphones i bakgrunden kartlägger alla dina rörelser. Datat finns sedan att köpa, och det går med lätthet att identifiera enskilda personer, åtminstone om dessa bor i villa, vilket kan vara en rejäl säkerhetsrisk. Bara på min egen telefon kunde jag identifiera Hitta.se, EasyPark, McDonalds och även Internetstiftelsens Bredbandskollen, som konstant använder telefonens GPS utan anledning.

Hitta.se har alltid på platsinformation och anger marknadsföring i sina villkor. Huruvida man säljer informationen vidare framgår ej av villkoren.

Platsinformation är enkel att stänga av eller begränsa för enskilda appar, och i många fall är det tämligen logiskt varför platsinformation ska finnas på ständigt. I exemplet ovan ser man t ex smarta hem-systemet Hue, som använder geofencing för att styra belysning. För att detta ska fungera måste systemet förstås hela tiden bevaka din position.

Vad man dock ser ovan är att appen inte gör detta, då det saknas en ikon om att alltid är aktivt.

Aktivt är dock hitta.se med sin app. I villkoren anger hitta.se bland annat att detta sker för marknadsföring (bloggens fetstil):

“Om du har accepterat platstjänster i din telefon/surfplatta kommer vi att löpande samla in mer detaljerade uppgifter om din geografiska position. Uppgifterna används för att kunna ge dig platsanpassad information och marknadsföring. Informationen kan också komma att användas i utvecklingen av nya produkter och tjänster och för att ge dig anpassat innehåll, såsom annonser som är relevanta för dig.”

Det är alltså uppenbarligen skillnad på marknadsföring och annonser. Det står sedan att man inte kommer sälja informationen om man inte har gett samtycke.

“Vi kommer inte att dela, sälja, överlåta eller på annat sätt lämna ut personuppgifter utöver vad som anges i denna personuppgiftspolicy om vi inte är skyldiga att göra det till följd av rättslig skyldighet eller om vi först har fått ditt samtycke.”

Den obesvarade frågan blir om man godkänt platsinfo, innebär det samtycke? Vad för marknadsföring är inte annonser? Bloggen har kontaktat Hitta.se, men bolaget har ej återkommit.

Den svenska Internetstiftelsen app Bredbandskollen, som mäter hur snabb överföringshastighet du kan uppnå i praktiken, har också konstant på GPS-data om man godkänt platstjänster. Ansvarig för Bredbandskollen på Internetstiftelsen säger dock till bloggen att “det är helt onödigt” och att appen håller på att arbetas om. “Vi gör ingenting utom när användaren mäter, och det finns kvar av en gammal teknisk anledning” uppger Internetstiftelsens ansvarige. Appen fungerar precis likadant om man ändrar inställningen manuellt. Man använder inte något API som sprider data vidare.

Internetstiftelsen säljer dock vidare det aggregerade datat till teleoperatörerna som en form av konsumentmakt, där teleoperatörerna alltså kan få se var de har dålig täckning på mobilt bredband alternativt dåligt fast bredband. Detta data är blurrat och visar oavsett inget annat än faktiska mätningar. Så har du Bredbandskollen och dålig täckning, kör för all del det hela ofta, så kanske situationen uppmärksammas av din operatör.

Saken är den att olika företag erbjuder apputvecklare betalt för att använda deras GPS-API:er, och för att data från dessa programmeringsgränssnitt automatiskt ska laddas upp till leverantörens centrala servrar. DN visar hur denna information avanonymiserat säljs vidare. Det går sedan att på några minuter identifiera enskilda användare via deras bostad, åtminstone om de bor i en villa, medan det kan ta lite längre tid om de bor i lägenhet.

EasyPark vill ha och läser (aktiv ikon) din platsinformation hela tiden. Även när du inte är parkerad via appen. Varför?

Det normala är att när du godkänner platsinfo i en app, så blir inställningen vid användning. En kartapp, t ex Apples Kartor nedan, behöver inte din platsinformation när du inte använder appen.

McDonald’s Sverige vill alltid ha din platsinfo.

Andra vill ständigt ha din platsinformation. Det kan säkert vara oskyldigt i de flesta fall, likt i fallet Bredbandskollen, men alla appar som begär detta kan misstänkas för att i själva verket sälja din platsinformation vidare. Gå in under integritetsinställningar och kolla av om apparna verkligen behöver din geografiska position hela tiden, dygnet runt.

Här stängs Internetstiftelsens Bredbandskollens ständiga tillgång till min platsinformation av.

DN visar hur en chef i Solna kunnat identifieras utifrån sin bostad och sedan arbetsplatsen, och därmed kan följas minut för minut, dygnet runt, efter att DN köpt data från en leverantör av detta.

Datat får förstås inte användas hur som helst, men det finns inget sätt för säljaren av datat att kontrollera detta.

Ponera att man driver ett företag med namnet Universal Imports and Exports (pop-kulturell referens för alla som läst Ian Flemings romaner). Man köper data med uppgivet syfte att utreda etablering av en butikskedja. En kedja som sedan aldrig etableras.

Men i verkligheten kollar man alla mobiltelefoner som anländer till försvarskontor som L24, T72, eller Tre Vapen, där de förhoppningsvis stängs av och/eller läggs i radioskyddade fack. Men de slås antagligen på igen när man lämnar. Sedan är det bara att spåra dessa försvarsanställda till andra platser och till bostaden. Där kan man om det är en villa identifiera övriga familjemedlemmar som kör samma appar, och kartlägga familjemedlemmarnas rörelsemönster.

Allt genom att bara köpa information för 10 000 – 30 000:- SEK fullt lagligt. Något fotarbete behövs inte förrän man vill sätta in en åtgärder mot den kartlagde personen direkt eller via familjemedlemmar. Eller när man hittar sårbarheter, som att den kartlagde eller anhöriga kanske privat besöker platser eller personer som anhöriga inte känner till – allt från vårdinrättningar (DN visar exempelvis psykakuten) till externa sexpartners eller kanske möten för anonyma alkoholister. Alla möjliga angreppsvektorer mot försvarsanställda för främmande makt.

Gå in på integritetsinställningar och begränsa rättigheterna för de appar som utan anledning kartlägger dina rörelser även när de inte används. Hundratusentals, kanske miljontals svenskar är kartlagda och deras geohistorik finns att köpa. DN uppger sig ha en lista bakom en betalvägg på vilka appar det handlar om, men om du inte ser någon anledning till att appen ständigt ska ha din platsinfo är det bara att stänga av funktionen.

Inför kommande okänd svensk tillämpning av EU:s länkskatt kan jag som kommersiell aktör förstås inte länka till Dagens Nyheter. Däremot kan jag länka till deras egen länk från Twitter (ej tidning, således kan den ej kräva betalt av mig för att jag länkar), som också innehåller en filmsekvens. Företeelsen är inte ny i sig, men DN visar på ett utmärkt sett hur det fungerar i praktiken och hur enkelt det är att köpa data till en billig penning. Själv skulle jag vilja ha min egen GPS-information för min egen del, presenterad på en snygg karta med möjlighet att visa all rörelse i detalj över tiden, men den informationen har jag själv alltså inte tillgång till. Men kanske har andra det? Som boende på landet vore det mycket enkelt att identifiera mig.