Minst 83 apper har tilknytning til et selskap som selger data om mobilbrukeres bevegelser. De har blitt lastet ned mer enn 230 millioner ganger.
Personvernekspert Sean O’Brien ved Yale Privacy Lab advarer folk mot å installere mange apper på mobilen. Det er fordi en eller flere av appene kan spre informasjon om deg, kanskje til og med uten at du vet det.
Ta for eksempel appen «Quran Mp3» utgitt av utvikleren AppSourceHub. Inntil nylig betydde det å installere denne appen at dine mobilbevegelser kunne bli sporet av det britiske selskapet Huq Industries.
Første gang du åpnet appen ville du bli spurt om appen kunne få tilgang til mobilens stedsdata. Trykket du «godta» ville du bli forelagt en forkortet personvernerklæring som fortalte deg at appen samlet inn «forskjellige typer data som i noen tilfeller kan være identifiserende opplysninger».
Quran Mp3 har blitt lastet ned over én million ganger, og den er bare en av mange. Huq Industries kan samle inn stedsdata fra Android-apper nedlastet minst 230 millioner ganger, ifølge en opptelling NRK har gjort basert på appscanneren Exodus Privacy i tidsrommet 15-18. oktober.
Om brukeren skulle angre seg var det mulig å slå av «datainnsamling» i appen Quran Mp3. Det kunne man gjøre i appens innstillinger, men ifølge Joel Reardon ville Huq Industries likevel fått brukerens presise mobilbevegelser. Det viste en analyse han gjorde på vegne av NRK. Reardon er medgrunnlegger av det personvernfokuserte analyseselskapet AppCensus.
Reardon har i tillegg funnet to andre apper som oppførte seg på samme måte. Appene «Network Signal Info» og «QR & Barcode Scanner» har tidligere blitt omtalt av Vice Motherboard. Til BBC innrømmet selskapet at de to appene ikke hadde fulgt deres retningslinjer og at det skal bli fikset.
Huq Industries opplyser til NRK at de nå har brutt partnerskapet med AppSourceHub. Selskapet utviklet appene «Quran Mp3» og «QR & Barcode Scanner».
– Vi er klar over tre tekniske brudd på våre krav til godt personvern. Det innebærer blant annet tilstrekkelige tiltak for å innhente samtykke når brukeren laster ned våre partneres apper, sier Conrad Poulson som er sjef for Huq Industries.
Poulson understreker at de rettet feilene så fort de ble klar over dem.
SJEKK SELV: I bunnen av artikkelen har vi listet opp Android-apper med tilknytning til Huq Industries. Trykk her for å hoppe til listen. NRK har ikke hatt mulighet til å lage en lignende oversikt for iPhone på grunn av at dette operativsystemet er mer lukket.
Selskapet etterforskes
Huq Industries er under etterforskning av dansk datatilsyn. I korrespondanse med tilsynet har selskapet delt et eksempel på hvordan de innhenter et juridisk samtykke til å behandle mobilbrukeres personopplysninger.
Ifølge to jurister som spesialiserer seg på personvernlov er dette samtykke ikke i tråd med det felles europeiske personvernregelverket (GDPR).
NRK har så forelagt fire app-samtykker for to jurister. De mener at samtykkene i appene Quran Mp3, Internet Speed Test, og Speedometer HD ikke var gode nok. De landet på ulike konklusjoner for en britisk togapp.
– Ingen bruker samtykke i samsvar med GDPR, sier Malgorzata Agnieszka Cyndecka som er førsteamanuensis ved Universitetet i Bergen.
Vebjørn Søndersrød leder fagområdet personvern ved advokatkontoret Ræder. Han mener at tre av appene har flere mangler, men at den viktigste er at brukerne ikke vet nok til å gjøre et informert valg akkurat der de blir bedt om å tillate å la seg spore.
– Du vet ikke hvem eller hvor mange aktører dine data deles med, du vet ikke hvilke av dine data som deles, og du vet heller ikke hva dine data brukes til, sier Søndersrød.
For å få denne informasjonen må brukeren trykke seg inn til appenes fulle personvernerklæring.
- Norge innførte personopplysningsloven i 2018. Den viktigste delen av loven er det som kalles EUs personvernforordning (GDPR), et regelverk som dekker alle EØS-land.
- Under personvernforordningen er det kun seks lovlige måter å behandle nordmenns personopplysninger. Personopplysninger kan være navn, fødselsnummer, seksuell orientering, og informasjon om hvor du befinner deg.
- Å samtykke er en av de seks behandlingsgrunnlagene. Loven sier at et samtykke skal være «frivillig, spesifikk, informert og utvetydig».
- Litt enkelt betyr det at man ikke kan tvinges til å samtykke, man må kunne forstå hva man sier ja til, og at det er tydelig avgrenset.
NRK har forelagt Huq Industries og de apputviklerne for juristenes vurderinger og funnene til Joel Reardon.
National Rail, en britisk sammenslutning av private jernbaneselskaper, forteller at de nå har avsluttet samarbeidet med Huq Industries for å være på den sikre siden. Foreløpig har ingen av de andre apputviklerne kommet tilbake til oss. Vi vil oppdatere saken når det skjer.
Markedssjef i Huq Industries, Alexander Fairfax, mener man skal være varsomme med å konkludere om deres datainnsamling er lovlig uten å kjenne alle detaljer. Han oppgir til NRK at de har et team med erfaring med det felles europeiske personvernregelverket (GDPR).
– I vår avtale med app-partnerne våre har vi tydelig beskrevet hvordan de bør innhente samtykke for formålene vi bruker dataene til. Det er deres ansvar å følge opp disse betingelsene. Vi tar personvern veldig alvorlig og vi vil sjekke opp alle bekymringer om spesifikke apper umiddelbart, sier Fairfax.
Fairfax oppgir at eksempelet på samtykke de delte med det danske datatilsynet var «designet for å forklare hvordan samtykkevinduer kan fungere».
– Det avgjørende var at materialet som ble delt med datatilsynet inkluderte ytterligere veiledning vi gir til partnere om deres forpliktelser til å innhente riktig samtykke. Dette inkluderer eksempler på formuleringer, sier Fairfax.
– Det er ikke mulig å foreta en vurdering av om man opererer i samråd med GDPR basert på et enkelt skjermbilde, siden det å operere i samsvar ned GDPR består av et bredt spekter av komponenter, inkludert samtykke fra brukeren til hvordan dataene behandles og brukes, sier Fairfax.
Huq Industries har tidligere oppgitt at de selger data til andre selskaper. Overfor NRK understreker selskapet at informasjonen kun skal brukes til ulike analyseformål.
– Vi har ingen kommersiell interesse av å identifisere enkeltpersoner, sier Huq-sjef Conrad Poulson.
Advarer mot å installere mange apper
Sean O’Brien ved Yale Privacy Lab mener Google og Apple burde gjort mer for å beskytte mobileiere. Ifølge ham er apper nærmest tvunget til å overvåke sine brukere for å tjene penger fordi det er vanskelig å finansiere apputvikling på andre måter.
– Du må spionere på brukerne og du må selge deres data, sier O’Brien til NRK.
O’Brien advarer spesielt mot å installere apper som åpent samarbeider med selskaper som Huq Industries. Om man først installere en app bør man være forsiktig med å gi dem mer tilganger enn de absolutt trenger, mener O’Brien. Det skyldes at mange apper sporer brukerne sine og at noen apper til og med gjør det i skjul.
Han mener at Apple og Google kunne gjort mer for å oppdage og kaste ut selskaper som sporer mobilbrukere ved å være mer proaktive.
Blitt vanskeligere å spore
Google og Apple har strammet inn hvor enkelt det er for en app å få tilgang til brukernes bevegelsesdata. Det har blant annet blitt vanskeligere å spore brukerne mens en app er i bakgrunnen eller at mobilen er låst. Apple har også innført en oversikt som i større grad viser hvilke typer data apper samler inn og deler videre.
Apple har ikke besvart NRKs henvendelser. Kommunikasjonsansvarlig i Google Norge, Sondre Ronander, oppgir at de undersøker Huq Industries.
– Vi er helt fokusert på å beskytte brukernes personvern, og tilby et trygt og sikkert miljø. Apper som er villedende, skadelige, eller på noen måte forsøker å misbruke nettverk, enheter, eller personlige data er strengt forbudt, sier Ronander.
– Google Play Protect skanner over 100 milliarder apper på folk sine enheter hver eneste dag for å sikre at installerte apper ikke oppfører seg på noen skadelig måte, og i 2020 alene forhindret vi over 962.000 apper som brøt våre retningslinjer fra å bli publisert på Google Play i det hele tatt, sier kommunikasjonsansvarlig Sondre Ronander hos Google Norge.
Oversikt over apper som kan sende mobilbrukerens presise bevegelser til Huq Industries. Sist oppdatert 15-18. oktober:
| Navn | Teknisk navn |
|---|---|
| 3D Earth | com.livingearth.free |
| 3D Earth&Moon | com.deluxeware.earthmoon.wp |
| Acak | com.acak.live.video.call |
| ADSL Teknik Servis | com.mobiroller.mobi26976771444 |
| Air Quality | com.airindex.aqi.weather |
| Akinator | com.digidust.elokence.akinator.freemium |
| All Languange Translator | com.balimedia.alldict |
| Arranger Keyboard | com.audiosdroid.arrangerkeyboard |
| Audiosdroid Audio Studio | com.audiosdroid.audiostudio |
| Basketball GM 19 | com.fromthebenchgames.nbamanager15 |
| Belajar Bahasa Jepang | balimedia.com.belajarbahasajepang |
| BMI Calculator | com.fitness.mybodymass.bmicalculator |
| Bus CountDown | com.appeffectsuk.bustracker |
| Call Reminder | com.calllog.notes.callreminder |
| CamFind | com.msearcher.camfind |
| Champions | com.CreativeDK.LeagueofLegendsChampions |
| Contacts Master | com.callhistory.contacts.calllog |
| Coordinator | com.suleymaner.coordinatorplus |
| DigiHUD | org.mrchops.android.digihud |
| Digital Clock and Weather | com.sonyericsson.digitalclockwidget2 |
| Digital Dashboard GPS | luo.digitaldashboardgps |
| Easy Contacts Backup | com.mcbackup.contact.contactbackup |
| EMI Calculator | com.finance.loan.emicalculator |
| Fantasy Manager Football | com.fromthebenchgames.fmfootball2015 |
| FlightHero Free | com.ik.flightherofree |
| Free PC Games | de.thegolem.freepcgames |
| Fu*** Weather | pl.lawiusz.funnyweather.release |
| FX Music Karaoke Player | com.audiosdroid.musicplayer |
| Game Day Free | com.gameday.snackrecipes |
| GPS Photo | com.gpsphoto.gpsmapgeotag.location |
| GPS Speed | luo.gpsspeed |
| Healthy Drinks | com.healthyrecipes.drinks |
| Indonesian Dictionary | com.balimedia.kamusinggris |
| IPTV 3U | com.iptv3u |
| Islamic Calendar | com.islamiccalendar.dateconverter.hijari |
| Islamic World | com.ramadan.muslim.qibla |
| Kamus Arab | com.balimedia.kamusarab |
| Kamus Bahasa Mandarin | com.balimedia.kamusmandarin |
| Kamus Jepang | com.balimedia.kamusjepang |
| Kamus Korea | com.balimedia.kamuskorea |
| Liverpool FC Fantasy Manager ’19 | com.fromthebenchgames.fmliv2015 |
| Medical ID (free) | app.medicalid.free |
| Mini For Instagram | com.Gold_Finger.V.X.your_Instagram |
| Mini Social | com.Gold_Finger.V.X.MiniSocial |
| Muslim | com.ramadan.appsourcehub |
| My Train Info | com.mytraininfo.irctc.train |
| National Rail | uk.co.nationalrail.google |
| Network Signal Info | de.android.telnet |
| Newplay | com.repotools.iptvnewplay |
| NFLPA Manager | nfl.players.fantasy.manager.mobile.app |
| Pedometer | com.fitness.stepcounter.pedometer |
| Ping Master X | com.anutoapps.pingmasterfree |
| Portable ORG | com.audiosdroid.portableorg |
| Prayer Times | com.ramdantimes.prayertimes.allah |
| Qibla | com.qiblafinder.prayertime.hijricalendar |
| Qibla | com.qiblacompass.finder |
| Qibla | com.prayertimes.qiblafinder |
| QR Scanner | qrcode.scanner.qrmaker |
| Quran Mp3 | com.quranmp3.readquran |
| Quran Mp3 | com.quranmp3ramadan.readquran |
| Radar detector | com.lelic.speedcam |
| Rain Radar | com.deluxeware.rainradar |
| Real Cricket World Cup 2019 | world.cup.icc2019.epic.cricket.card.league |
| Salad Recipes | com.omniluxtrade.saladrecipes |
| Speech2Text Translator | com.audiosdroid.speech2text |
| Speed View GPS | luo.speedviewgps |
| Speedcheck Pro | org.speedspot.speedanalytics |
| Speedcheck Simple | org.speedspot.speedspotspeedtest |
| Speedometer | com.digitalhud.speedometer |
| Speedometer GPS | luo.speedometergps |
| Speedometer HD | com.speedgauge.tachometer.speedometer |
| Tukang Ramal | com.balimedia.ramalan |
| Video to Mp3 | com.videocutter.mp3converter |
| Vidownload | com.lowlevel.vihosts.app |
| VirtualPet | com.audiosdroid.virtualpet |
| Vocal Calculator | com.audiosdroid.vocalcalc |
| Weather | net.difer.weather |
| Weather Now | com.weathernowapp.weathernow |
| Weather Now | com.weathernowapp.premium |
| WiFi Overview 360 | de.android.wifiscanner |
| Wiseplay | com.wiseplay |
| Years & Days Calculator | com.audiosdroid.datecalc |
| YourPlanner | wtf.kyl.new_yourplanner_madebykongyinlam |
- NRK har identifisert apper som inneholder en kodesignatur («io.huq.sourcekit.») som tilhører dataforhandleren Huq Industries.
- Undersøkelsen, som ble gjort 15-18. oktober, viser at Huq Industries kodesignatur er til stede i den siste versjonen av 83 apper. Ytterligere 56 apper har på et tidligere tidspunkt hatt spor av Huq Industries. NRK har brukt appscanneren Exodus Privacy med hjelp av Esther Onfroy fra Defensive Lab Agency til å utføre analysene.
- At en app inneholder en kodesignatur kan bety at appen sender Huq Industries data, men ikke alltid. Appene har også forskjellige måter å innhente samtykke til å behandle og dele personopplysninger.
Få listen som et Excel-ark, CSV med nåværende apper, eller CSV med tidligere apper.