Un procent de până la 88% din aproape 21.000 de aplicații mobile din categoria sănătate și fitness (mHealth) accesibile pe magazinul Google Play din Australia au incluse secvențe de cod care pot accesa și chiar partaja datele personale ale utilizatorilor cu părți terțe, arată un studiu realizat de Optus Macquarie University Cyber Security Hub din Sydney, citat de compania de securitate Eset.
Lucrarea, publicată de British Medical Journal a analizat 8.000 de aplicații clasificate drept „medicale” și 13.000 de aplicații care se încadrează în categoria „sănătate și fitness”. Au fost incluse aproape toate aplicațiile mHealth care sunt accesibile în Google Play Store în Australia. În ansamblu, aproape 100.000 de aplicații din Google Play și Apple Store aparțin celor două categorii.
Cercetătorii au efectuat o analiză aprofundată a aproape 16.000 de aplicații gratuite mHealth găsite pe piața aplicațiilor Google și au comparat practicile lor de confidențialitate cu un eșantion de bază de aproape 8.500 de aplicații non-mHealth.
„Principalele tipuri de date colectate de aplicațiile mHealth includ informații de contact, locația utilizatorului și mai mulți identificatori de dispozitiv. O parte dintre acești identificatori (ne referim în mod specific la identitatea internațională a echipamentelor mobile – IMEI, un identificator unic utilizat pentru amprentarea telefoanelor mobile; controlul accesului media – MAC, un identificator unic al interfeței de rețea în dispozitivul utilizatorului și identitatea internațională a abonatului mobil, un număr care identifică în mod unic fiecare utilizator al unei rețele celulare) sunt unici și persistenți, adică sunt imuabili și nu pot fi schimbați sau înlocuiți. De asemenea, pot fi utilizați de terți pentru a urmări utilizatorii din rețele și aplicații”, se arată în studiu.
Conform analizei, două din trei aplicații colectează identificatori MAC și cookie-uri, o treime colectează adresele de e-mail ale utilizatorilor și aproximativ un sfert dintre aplicații ar putea presupune locația curentă a utilizatorului pe baza antenei GSM la care sunt conectați.
În timp ce studiul a concluzionat că modul în care aplicațiile mHealth colectează și partajează datele utilizatorilor ar putea fi considerate de rutină, răspunderea despre aceste practici nu a fost deloc transparentă.
De asemenea, aproape un sfert din transmiterile de date ale utilizatorilor, în special datele referitoare la parole și date de localizare, au fost observate având loc printr-o conexiune HTTP necriptată nesecurizată și aproape o treime din aplicațiile mHealth nu au oferit niciun fel de politică de confidențialitate care detaliază modul în care sunt tratate datele.
