Πώς οι εφαρμογές για κινητά μοιράζονται παράνομα τα προσωπικά σας δεδομένα

This page has been translated automatically. Read the original or leave us a message if something is not right.
Forced Consent & Consent Bypass
 /  14 September 2023

Σήμερα, η noyb υπέβαλε τρεις καταγγελίες στη Γαλλία κατά του Fnac (το μεγαλύτερο κατάστημα ηλεκτρονικών ειδών στη Γαλλία), της εφαρμογής ακινήτων SeLoger και της εφαρμογής γυμναστικής MyFitnessPal. Οι εφαρμογές των εταιρειών έχουν παράνομη πρόσβαση και μοιράζονται τα προσωπικά δεδομένα των χρηστών με τρίτα μέρη για εξελιγμένα αναλυτικά στοιχεία αμέσως μόλις ανοίξουν οι εφαρμογές. Οι χρήστες δεν έχουν καν την επιλογή να συναινέσουν ή να αποτρέψουν την κοινή χρήση των δεδομένων τους. Αυτή η προσέγγιση είναι παράνομη.

mobile apps header

Μετάδοση από προεπιλογή. Ο καταγγέλλων εγκατέστησε τις δημοφιλείς εφαρμογές MyFitnessPal, Fnac και SeLoger στο smartphone του Android. Μόλις ανοίξουν, οι εφαρμογές άρχισαν αμέσως να συλλέγουν και να μοιράζονται προσωπικά δεδομένα, συμπεριλαμβανομένου του μοναδικού αναγνωριστικού διαφήμισης (AdID) της Google, του μοντέλου και της επωνυμίας της συσκευής τους και της τοπικής διεύθυνσης IP με τρίτα μέρη. Μια τέτοια εκτεταμένη συλλογή δεδομένων επιτρέπει τη δημιουργία προφίλ των χρηστών προκειμένου να τους εμφανιστούν εξατομικευμένες διαφημίσεις και καμπάνιες μάρκετινγκ για την αύξηση των εσόδων για τις αναφερόμενες εταιρείες.

Καμία συναίνεση. Σύμφωνα με την Οδηγία για την προστασία της ιδιωτικής ζωής ηλεκτρονικών επικοινωνιών, η απλή πρόσβαση ή η αποθήκευση δεδομένων στην τερματική συσκευή του χρήστη επιτρέπεται μόνο εάν οι χρήστες δώσουν τη δωρεάν, ενημερωμένη, συγκεκριμένη και ξεκάθαρη συγκατάθεσή τους. Δύο από τις τρεις εφαρμογές για κινητά δεν εμφάνιζαν banner συναίνεσης κατά την εκκίνηση της εφαρμογής. Η τρίτη εφαρμογή παρουσίασε ένα banner που θεωρητικά έδινε στον καταγγέλλοντα την επιλογή να δώσει ή να αρνηθεί τη συγκατάθεσή του. Στην πραγματικότητα, η διαβίβαση των προσωπικών τους δεδομένων ξεκίνησε χωρίς καμία αλληλεπίδραση από την πλευρά τους – και πριν καν προλάβουν να σκεφτούν τη συγκατάθεσή τους.

Ala Krinickytė, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Κάθε εφαρμογή χρειάζεται συναίνεση για να σας παρακολουθεί. Αντίθετα, χρησιμοποιούν "συλλογή και παρακολούθηση δεδομένων από προεπιλογή". Σε αντίθεση με την παρακολούθηση σε ιστότοπους, οι εφαρμογές για κινητά δεν έχουν σχεδόν καμία επιβολή μέχρι στιγμής.»

Λεπτομερής παρακολούθηση. Πληροφορίες όπως το AdID είναι μοναδικές και συνδέονται με τη συσκευή ενός συγκεκριμένου ατόμου. Αυτό επιτρέπει στους διαφημιστές και σε άλλα τρίτα μέρη να ξεχωρίζουν χρήστες και τους επιτρέπει να στοχεύουν χρήστες στο μέλλον. Ορισμένοι πάροχοι εφαρμογών παρακολουθούν ακόμη και τη συμπεριφορά των χρηστών εκτός των εφαρμογών τους. Αυτό τους επιτρέπει να εμπλουτίζουν τα δεδομένα που συλλέγονται με ακόμη περισσότερες πληροφορίες για τη ζωή του χρήστη.

Πρώτο αποτέλεσμα μιας ευρύτερης έρευνας. Ο τρόπος με τον οποίο αυτές οι εφαρμογές χειρίζονται τα δεδομένα των χρηστών τους είναι σύμπτωμα ενός ευρύτερου προβλήματος στο περιβάλλον των εφαρμογών για κινητά. Αν και αυτές οι εφαρμογές έχουν συχνά εκατομμύρια χρήστες, δεν μπαίνουν στον κόπο να συμμορφωθούν με τη νομοθεσία της ΕΕ για το απόρρητο – αλλά μοιράζονται προσωπικά δεδομένα με τρίτα μέρη (συμπεριλαμβανομένων των μεσιτών διαφημίσεων) προκειμένου να δημιουργούν έσοδα από τα δεδομένα των χρηστών τους. Σύμφωνα με έρευνα του Konrad Kollnig και άλλων , μόνο το 3,5% όλων των εφαρμογών έδωσαν στους χρήστες μια πραγματική επιλογή να αρνηθούν τη συναίνεσή τους.

Ala Krinickytė, Δικηγόρος Προστασίας Δεδομένων στο noyb : «Η παράνομη συλλογή και κοινή χρήση προσωπικών δεδομένων των χρηστών είναι ένα ευρέως διαδεδομένο πρόβλημα στο περιβάλλον των εφαρμογών για κινητά. Είναι βασικό οι εποπτικές αρχές να λάβουν τώρα τα κατάλληλα μέτρα για να βάλουν τέλος σε αυτή την πρακτική».

Ανάλυση παραβιάσεων απορρήτου εφαρμογών για κινητά . Προκειμένου να ληφθούν αποδεικτικά στοιχεία για τις προαναφερθείσες παραβάσεις, απαιτήθηκε τεχνική ανάλυση της κίνησης δικτύου των εφαρμογών smartphone. Η σύλληψη και η ανάλυση της κυκλοφορίας του δικτύου διεξήχθησαν χρησιμοποιώντας τη σουίτα εργαλείων PiRogue που αναπτύχθηκε από την Υπηρεσία Defensive Lab. Μπορείτε να βρείτε την αναλυτική μεθοδολογία εδώ .

Διαγραφή δεδομένων και πιθανό πρόστιμο . Το noyb ζητά από το CNIL να διατάξει τα MyFitnessPal, Fnac και SeLoger να διαγράψουν όλα τα δεδομένα που έχουν υποστεί παράνομη επεξεργασία. Επιπλέον, όλοι οι αποδέκτες των δεδομένων του καταγγέλλοντα πρέπει να ενημερώνονται ότι ο καταγγέλλων έχει ζητήσει τη διαγραφή τυχόν συνδέσμων, αντιγράφων ή αντιγράφων των προσωπικών του δεδομένων. Δεδομένης της σοβαρότητας των ισχυρισμών και του δυνητικά μεγάλου αριθμού ατόμων που επηρεάζονται, η noyb προτείνει επίσης ότι η αρμόδια αρχή πρέπει να επιβάλει πρόστιμο. Αυτές οι καταγγελίες είναι μόνο η αρχή: η noyb σχεδιάζει να υποβάλει περισσότερες καταγγελίες εναντίον εταιρειών εφαρμογών για κινητά στο μέλλον, προκειμένου να σταματήσει την παράνομη κοινή χρήση δεδομένων χρηστών.

Ευχαριστίες

  • Η σύλληψη και η ανάλυση της κίνησης του δικτύου πραγματοποιήθηκε χρησιμοποιώντας τη σουίτα εργαλείων PiRogue που αναπτύχθηκε από την υπηρεσία Defensive Lab
  • Ο Δρ. Konrad Kollnig παρείχε την εκτεταμένη γνώση και τεχνογνωσία του σχετικά με το θέμα της παρακολούθησης σε εφαρμογές για κινητά
  • Το Tracking Weasel συνεισέφερε πολύτιμες πληροφορίες για το θέμα των βιβλιοθηκών παρακολούθησης και της παρακολούθησης σε εφαρμογές για κινητά.

Share