Oklara gränser i appvärlden

Kartläggning: Tjuvaktiga appar

Appar kräver att man godkänner att programmet får tillgång till olika funktioner i mobilen. Många appar gräver dock djupare än vad de uppger och vad de bakomliggande företagen gör med information som hämtas från din mobil är inte alltid solklart.

Publicerad Senast uppdaterad

Dammarna brast i praktiken när det blev känt att appen Path laddade upp och lagrade information från användarnas adressbok till föregets server utan användarnas vetskap. I medias ögon blev Paths vd Dave Morin syndabock för ett vida spritt problem, nämligen att företag via appar samlar in och utnyttjar information från användarnas mobiltelefoner utan att upplysa om det.

Efter avslöjandet bad Dave Morin om ursäkt och ändrade Paths hantering av användarnas kontakter och raderade de som samlats in utan tillstånd, men tillade samtidigt att Paths beteende överensstämde med "industrins praxis". 

Facebook, Instagram, Foursquare, Foodspotting, Yelp och Gowalla är bara några ytterligare exempel på appar som samlar in namn, e-postadresser och telefonnummer från din enhets adressbok. Många gör det utan att be om tillstånd först. Instagram och Foursquare tillhör de som frågar om lov, men den policyn lades till efter Path-avslöjandet. Innan dess var de lika goda kålsupare. Hipster avslöjade att de automatiskt laddade upp användarnas kontaktuppgifter utan att fråga om tillstånd.

Företagets vd Doug Ludlow bad om ursäkt och erkände att de hade hanterat frågan om användarnas integritet på ett dåligt sätt. En uppdatering ska ändra policyn och Doug Ludlow tog även initiativet att bjuda in vd:ar i ledande appföretag till ett möte om mobilanvändarnas integritet. 

Det finns bättre sätt

Att Twitter frågar användarna om tillstånd att titta i deras adressbok är en sak, men man kan fråga sig varför företaget sparar informationen i 18 månader. En av huvudanledningarna verkar vara att nya användare ska kunna länka ihop sig med redan registrerade vänner, men det verkar bara vara en liten del av sanningen. Det skulle nämligen inte vara så svårt att koppla samman användarna med "hashtaggar" (#). Martyn May, som tidigare arbetade med att utveckla den platsbaserade appen Brightkite och numera är medgrundare till Forkly, stötte tidigt på problemen med "Hitta vänner".

"När vi diskutera funktionen ledde vår första iteration i slutändan till samma strategi som Path använder; ladda upp användarens adressboksinformation till våra servrar så kan vi göra matchningen. Men det kändes inte rätt. Det tog inte lång tid innan vi insåg att vi inte behöver folks telefonnummer eller e-postadresser för att matcha dem, vi behöver bara deras ’hashtaggar’", skriver May i en bloggpost.

Han får medhåll av ios-utvecklaren Matt Gemmell.

"Varför laddar du upp användarens adressboksdata istället för att låt oss säga generera ett unikt id-nummer, en så kallad ’hashsumma’, lokalt utifrån användarens e-postadress och sedan bara ladda upp alla id-nummer?", frågar han Dave Morin i en kommentar på bloggen som avslöjade Paths metoder.

Informationen som företagen samlar in används ibland internt för utveckling, men den skulle även kunna säljas vidare till tredje part, främst i samband med riktad annonsering i själva appen. I praktiken har du som användare alltså förlorat kontrollen över vad som för många är känslig och personlig information. Många av företagen förnekar att de sparar informationen, men även om det må vara sant så finns det ett annat, kanske till och med ännu större problem. 

Många av företagen bryr sig nämligen inte ens om att kryptera informationen när den skickas mellan användarens enhet och företagets server. Venturebeat.com använde en datatrafikavläsare som kallas Mitmproxy för att undersöka vad som egentligen skickas och i vilken form. Det visade sig bland annat att Foodspottings app skickade information från adressboken som vanlig text över en okrypterad http-anslutning. Efter att ha konfronterats med detta meddelade företaget att de skulle sluta med det. 

Men frågan är hur många kontaktuppgifter som har hamnat i fel händer hittills Och även om informationen krypteras på vägen så avkodas det när det når företagets servrar. Kan vi lita på att företaget har goda avsikter? Och vad händer om företaget går i konkurs, blir uppköpta eller än värre får servrarna hackade?

Har väckt politikernas intresse

I en liten rundfrågning som bloggaren Dustin Curtis gjorde efter Path-avslöjandet erkände 13 av 15 iOS-apputvecklare (självklart under löfte om anonymitet) att de laddar hem en kopia av användarnas adressbok och har databaser med "miljoner" kontaktuppgifter. 

Ett av företagen skröt till och med att de hade Oracles vd Larry Ellisons hemnummer samt både Microsofts Bill Gates och Facebookgrundaren Mark Zuckerbergs mobilnummer. Efter all uppmärksamhet har dock en del av dessa företag ändrat sitt beteende, skriver Curtis i en senare uppdatering av bloggposten.

Var kommer då Apple och Google in i bilden? Att många appföretag inte verkar ha haft några skrupler när det gäller att kopiera användarnas adressbok är tydligt. Samtidigt måste de någonstans ha känt att de har fria tyglar. Det kanske inte är så underligt eftersom Apple uppenbarligen har släppt igenom apparna som kommer åt adressboken samtidigt som många appar stoppas från distribution via Itunes av en hel uppsjö av andra anledningar.

Medan många av iOS-funktioner kräver ett uttalat godkännande från användare så verkar inte adressboken hamna under samma krav. Apple själva verkar inte följa de riktlinjer som de själva har satt upp. Följande rader kommer från Apples användarvillkor för utvecklare: 

17.1: Apps cannot transmit data about a user without obtaining the user’s prior permission and providing the user with access to information about how and where the data will be used

17.1: Appar får inte skicka data om användaren utan att först få tillstånd från användaren och ge användaren tillgång till information om hur och var dessa data kommer att användas

17.2: Apps that require users to share personal information, such as email address and date of birth, in order to function will be rejected

17.2: Appar som kräver att användaren delar med sig av personlig information, som e-postadress och födelsedag, för att fungera kommer att bli avfärdade

Den 15 februari uttalade sig Apple i frågan. Företaget påstår att inom en snar framtid kommer appar som använder sig av adressboken kräva ett specifikt godkännande från användaren för att få göra det.

"Appar som samlar eller skickar användarnas kontaktuppgifter utan användarens godkännande strider mot våra riktlinjer. Vi jobbar på att göra detta ännu bättre för våra kunder, och som vi har gjort med våra platsbaserade tjänster, kommer alla appar som vill komma åt kontaktdata att behöva ett specifikt godkännande från användaren i framtida mjukvarusläpp", sa Apples talesman Tom Neumayr till teknik­webben AllThingsD. 

Uttalandet kom strax efter att ordförande för amerikanska kongressens Energi- och kommerskommitté Henry Waxman och G.K. Butterfield från Tillverknings- och handelssubkommittén skrivit ett brev till Apples vd Tim Cook och ifrågasatt företagets policy samt krävt svar på ett antal frågor kring ämnet.

"Dessa händelser väcker frågor kring Apples policy angående ios-apputvecklares praxis, och om dessa är otillräckliga när det gäller att skydda Iphone­användare och dess kontakter", står det bland annat i brevet.

Android har också en hel del problem med säkerheten och även det har uppmärksammats av kongressen. Al ­Franken, ordförande för Subkommittén för Sekretess, Teknologi och Lag, skrev redan den 25 maj 2011 ett brev till Steve Jobs och Larry Page där han kräver tydligare beskrivningar beträffande vilken användarinformation appar i Market (numera Play) och App Store kräver tillgång till samt hur och i vilket samband information används av företaget bakom appen. 

För Android blir hela situationen mer komplicerad eftersom systemet är mer öppet än Apples och att apparna granskas inte lika rigoröst på förhand innan de hamnar på Android Market. I februari gjorde New York Times ett stort avslöjande när de visade på ett grundläggande säkerhetsfel i Android. Ralph Gootee, Androidutvecklare på mjukvaruföretaget Loupe, skapade en test-app som till ytan såg ut som en vanlig timer. Samtidigt som den användes gick den in i mappen för enhetens lagrade foton och laddade upp dem till en publik fotosida på nätet, utan att användaren hade en aning om att det skedde. Allt appen behövde var tillstånd från användaren att koppla upp sig mot internet.

Enligt Google, som har sagt att de tittar på problematiken, härstammar säkerhetshålet från den tiden då det var vanligast att användare lagrade bilder på externa minneskort och inte i mobilens interna minne.

Ashkan Soltari, forskare som specialiserar sig på integritet och säkerhet, säger att Googles förklaring förmodligen är överraskande för de flesta användarna eftersom majoriteten förmodligen är helt ovetande om dessa skillnader i hur mobilens lagringssystem är uppbyggt.

"Googles sätt att ge tillstånd till appar är som att köpa en bil som har lås på dörrarna men inte på bagageluckan", säger Soltari till New York Times.

Tillverkarna gör det värre

På Androidsidan tillkommer sedan problemet med att mobiltillverkarna lägger in egna förinstallerade appar och ändringar ovanpå Googles grund. Forskarna Michael Grace, Yajin Zhou, Zhi Wang, och Xuxian Jiang har skrivit en forskningsrapport som belyser problematiken. De testade åtta mobiler: HTC Legend, Evo och Wildfire s, Motorola Droid och Droid x, Samsung Epic, och Google Nexus One samt Nexus S (vid testtillfället så hade mobilerna Androidversioner i spannet 2.1–2.3.3). Det visade sig att de mobiler som har mest gemensamt med referensmobilerna, det vill säga Nexus One och Nexus S, har minst säkerhetsluckor.

Forskarna skapade programmet Woodpecker som analyserade de olika förinstallerade apparna och avslöjade säkerhetshål som kan utnyttjas av andra appar som innehåller skadlig kod, utan att de frågar om tillstånd för att komma åt funktionerna. Undersökningen delade upp säkerhetsbristerna i två kategorier, "explicit" som innebär att appen kan utnyttja systemfunktioner eller andra appars egenskaper utan att be om lov från användaren, och "implicit" som innebär att apparna kan ärva tillstånd från andra appar i mobilen som har samma digitala signatur. 

Det sistnämnda används för att appar från samma tillverkare ska kunna interagera med varandra. Den explicita är ett allvarligt säkerhetsproblem. De implicita visar snarare på felaktig information kring vad appen egentligen kan göra men ses inte som en lika allvarlig säkerhetsbrist.

Fotoappen i Android ligger i flera fall vidöppen för de appar som vill kopiera.

Forskarna fokuserade på 13 egenskaper som hanterar potentiellt känslig användarinformation eller mobilegenskaper som geo-taggning, tillgång till adressboken och kamerafunktioner, hantering av filer och skickandet av sms-meddelanden. Det visade sig att 11 av de tretton egenskaperna läckte via de förinstallerade apparna. Värst var HTC Evo med hela 8 läckor.

Forskarna konstaterade att via säkerhetsbrister skulle skadliga appar bland annat kunna skicka sms-meddelanden, radera användarnas data, spela in användarnas konversationer och ta reda på var mobilen befinner sig, helt utan användarens vetskap.

Ett sätt som industrin skulle kunna öka användarnas förtroende på är att inte bara luddigt skriva vilka funktioner appen kräver tillgång till, utan även exakt varför den behöver det. Utvecklaren av appen Any.do har exempelvis en "frågor och svar"-del på hemsida där det väldigt detaljerat finns beskrivet vad företagets app gör i mobilen. 

Självklart kräver allt det också att användarna tar ett visst ansvar och inte bara klickar på "godkänner" utan att ens ha tittat på villkoren. Facebook insisterar på att personer som använder företagets app till Android har gått med på att Facebook har tillstånd att läsa deras textmeddelanden, även om Facebook säger att de ännu inte har utnyttjat den rätten. 

I slutändan kanske politikernas krav och användarnas ilska innebär att det blir en rätsida på hela den här röran, men det bör hända innan hela kontroversen rinner ut i sanden och mediernas nyhetsflöde ersätts av något annat. Ärlighet varar längst brukar man säga och tillverkarna tillsammans med apputvecklarna måste ta frågan på allvar. Vi får hoppas att de gör det permanent och inte bara nu när stormen blåser som hårdast.

5 frågor till säkerhetsexperten

Per Hellqvist på säkerhetsföretaget Symantec svarar på frågor kring appar och integritet. 

Är problemet främst att appen hämtar information i hemlighet eller att texten som berättar vad appen gör är otydligt formulerad?

Både och egentligen. Men även om app-tillverkaren är tydlig med informationen kommer användarna förmodligen alltid att klicka ja. Det står ju relativt tydligt när man installerar en app vilka rättigheter den efterfrågar, men innebörden av det är inte lika tydlig. Därför är det viktigt att tillverkaren nästan är övertydlig inne i programmet om vad den kommer ta sig till samt att det om möjligt finns en chans för användaren till "opt-out". Idag är ju apprättigheterna relativt klumpigt införda. Användaren kan själv inte välja vilka rättigheter en app ska få. Antingen måste man godkänna alla eller också inte använda appen. Det är oerhört viktigt att apptillverkarna inte ansöker om fler rättigheter än de verkligen behöver och att de under tillverkningen tänker igenom appen så att den inte kränker användarnas rättigheter och integritet.

Vilken information är de främst ute efter?

Till synes användarinformation. Man vill gärna veta var användarna befinner sig när man använder appen. I en del fall kan man anta att de vill ha informationen för att kunna sälja den vidare till annonsörer. All användarinformation bör behandlas med största möjliga försiktighet. Det gäller under insamlandet, bearbetningen och lagringen. De elaka apparna är ute efter imei och imsi-nummer. De säljs sedan vidare till de som låser upp stulna telefoner mot betalning och även för pirattillverkning av telefoner. Det finns även spionappar som spelar in samtal, tar kopior på sms/mms och surfloggar etc.

Kan det finnas rena bedrägeriförsök i vissa fall?

Det beror på hur man använder ordet bedrägeri. Om du tycker att en trojaniserad app är bedräglig så ja. I många fall talar appen om vad den vill göra och tillverkaren förlitar sig på att användarna struntar i att tänka själv och bara klickar ja. Man förstår heller inte innebörden av att tillåta appen vissa rättigheter.

Finns det något sätt som användaren kan veta exakt vad en app kommer att göra i mobilen (utöver det som står i appinformationen från början)?

Ja och nej. Den kommer att tala om vilka rättigheter den behöver men det motiveras sällan eller aldrig varför den behöver dem. Det är en fälla. Ta exemplet där en app vill ha tillgång till sms. Den rättigheten kan ­användas för att till exempel spåra en stulen telefon eller uppdatera ett socialt nätverk, men den kan också användas för att skicka ut stulen information eller sända dyra betal-sms.

Ett annat exempel är just tillgången till adressboken. Appen kanske behöver det för att visa i displayen vem som ringer, eller för att du ska kunna skicka inbjudningar till något spel. Men det kan lika gärna innebära att de skickar iväg hela adressboken.

Kan man sätta upp en brandvägg (eller dylikt) i mobilen för att hindra appen att tanka ner vissa data?

Inte med dagens mobilbrandväggar. Vi är många år ifrån en sådan lösning. Bäst vore om man gjorde om operativsystemen så att användarna kunde välja om en app ska få vissa specifika rättigheter eller inte.