Startsida Datorer & mjukvara 9 av 10 svenska appar läcker dina uppgifter: banker och...

9 av 10 svenska appar läcker dina uppgifter: banker och matbutiker bland värstingarna

9 av 10 svenska appar läcker dina uppgifter: banker och matbutiker bland värstingarna
Levererat av Teksajten

Nästan alla av Sveriges mest använda appar skickar känslig data till bolag utanför EU, även när du sagt nej.

Det visar en granskning av 75 populära svenska appar inom bank, sjukvård, utbildning, hälsa och livsmedel, gjord av compliance‑plattformen Peak Privacy tillsammans med molnleverantören Shibuya.

I sammanlagt 87 procent av apparna gick data vidare till externa aktörer, även när användaren uttryckligen tackat nej eller aldrig blivit tillfrågad. Av den trafiken hamnade 95 procent utanför EU, framför allt i USA och Kanada.

Bank och mat är värstingarna

Bank‑ och livsmedelsapparna sticker ut. I de kategorierna gjorde samtliga granskade appar så kallade tredjepartsanrop, alltså trafik till andra företag än apputgivaren själv. I övriga kategorier var det en majoritet av apparna, men inte alla.

Den information som lämnade telefonerna handlade inte bara om vanlig användardata. Enligt granskningen följde IP‑adresser, teknisk enhetsinformation och unika användaridentifierare med, uppgifter som kan användas för att kartlägga rörelser och beteenden över tid.

Andreas Lundgren, ansvarig för compliance och säkerhet på Shibuya, beskriver problemet som särskilt allvarligt när det handlar om tjänster där användarna förväntar sig hög säkerhetsnivå, exempelvis banker och vårdtjänster.

Färdiga kodpaket bakom läckaget

En central förklaring är att utgivarna själva ofta inte vet vad apparna gör i bakgrunden. Många appar byggs med färdiga komponenter och utvecklingsverktyg från andra leverantörer, och dessa kan ta med sig spårningsfunktioner från reklambranschen rakt in i appar som inte har något med annonsering att göra.

Det förklarar Vibeke Specht, medgrundare av Peak Privacy, som menar att den globala reklamteknikbranschens infrastruktur på det sättet glider in i tjänster den egentligen inte hör hemma i.

Den enda tydligt positiva avvikaren i testet var vårdappen Kry, som inte gjorde några anrop till tredjepartsnätverk för annonsering eller spårning. All trafik gick i stället till bolagets egna servrar inom EU och EES.

Därför är USA‑överföringen ett juridiskt problem

Att data flyttas till USA är inte bara en integritetsfråga utan också en rättslig knäckfråga. Efter EU‑domstolens så kallade Schrems II‑dom från 2020 krävs i regel kompletterande skyddsåtgärder vid överföringar av personuppgifter till länder utanför EES, om mottagarlandet inte anses ha en likvärdig skyddsnivå, förklarar Integritetsskyddsmyndigheten.

EU‑kommissionen har sedan dess fattat ett nytt så kallat adekvansbeslut för USA via ramverket EU‑U.S. Data Privacy Framework. Det innebär att överföringar till amerikanska mottagare som är anslutna till ramverket kan ske utan extra åtgärder, enligt myndigheten. För mottagare som inte är anslutna gäller fortsatt de strängare kraven från Schrems II.

Den granskning som nu presenterats säger däremot inget om huruvida de enskilda mottagarna är anslutna eller inte. Det är något varje apputgivare behöver kunna redovisa själv.

Så kollar du dina egna appar

På Android finns sedan version 12 en inbyggd funktion som visar vilka behörigheter dina appar har använt och när. Den hittas under Inställningar och Säkerhet och integritet eller Integritet, och kallas Integritetsöversikt på svenska. Där kan du se till exempel vilka appar som använt platsen, mikrofonen eller kameran, enligt Googles supportsida.

På iPhone hittas motsvarande funktion under Inställningar, Sekretess och säkerhet, App‑sekretessrapport, där du kan slå på en logg över vilka behörigheter och nätverksdomäner dina appar kontaktat.

Att en app skickar data behöver inte alltid vara olagligt, men användaren har enligt EU:s dataskyddsregler rätt att få tydlig information om vad som händer med uppgifterna och, i de flesta fall, möjlighet att tacka nej. Den som vill anmäla misstänkta brister i hur en app hanterar personuppgifter kan göra det till Integritetsskyddsmyndigheten.

Ads by MGDK