Medie-apps sikrer ikke brugerne

Medierne kritiserer Facebook for at indsamle brugernes data, men medierne gør det samme med deres apps, viser blogger Filip Wallbergs gennemgang af ti medie-apps. "Umiddelbart skuffer undersøgelsen mig ganske fælt," skriver han
27.01.2016 · 11:45
Filip Wallbergs billede
Filip Wallberg

Vi har efterhånden lært, at vores adfærd på internettet bliver registreret, analyseret og gemt med henblik på statistik og målrettede annoncer. Men apps, der i udgangspunktet opleves som mere sikre af mig som bruger, er indtil nu gået ganske fri fra granskningen. Derfor har jeg undersøgt ti apps fra danske medier, der er tilgængelige i App Store hos Apple.

Jeg har undersøgt de ti apps onsdag den 20. januar 2015 med en iPhone 6 og programmet Debookee, der kan registrere trafik på et netværk. Testen er ikke definitiv, og den skal tages med et vist forbehold, selvom testen underbygger fire væsentlige pointer:

  1.  Apps udviklet direkte til iOS kalder færre eksterne tjenester end apps, der blot pakker en hjemmeside pænt ind. Du kan se forskellen mellem Børsen (se listen længere nede), der pakker sin hjemmeside ind i en app, og Jyllands Posten, der umiddelbart har udviklet en dedikeret app til iOS. Jyllands Posten kalder radikalt færre eksterne tjenester end Børsen.
  2. Ni af de ti apps krypterer helt sikkert ikke indholdet. Det vil sige, at alle tekniske bindeled mellem medie og bruger kan se det indhold, som brugeren henter. Det betyder, at en udbyder for eksempel kan registrere og analysere indholdet, hvis man åbner en app, når man er koblet på offentlig wifi. Og dermed kan udbyderen indsamle værdifuld data om dig og dine vaner.
  3. Der er stor forskel på de eksterne tjenester, som de ti apps kalder. Fælles er dog, at langt de fleste - især de kommercielle - deler data med eksterne partnere, der har fokus på dataindsamling og registrering af brugeradfærd. Cxense, der tilbyder personificering af indhold og målrettede annoncer, bliver kaldt i fire af de ti apps.
  4. Kun hvis du oplyser navn, telefonnummer, e-mail adresse eller lignende, kan de enkelte apps koble registrering af brugeradfærd til dig som person. Alligevel vil brugeradfærden dog - over tid - kunne afsløre væsentlige detaljer om politisk ståsted, alder og køn, uden at registreringen fremgår tydelig i de forskellige apps.

Herunder finder du en liste over de ti apps, jeg har undersøgt, og de eksterne tjenester, som appen umiddelbart kalder.

BT:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adition, Adobe, AppNexus, Brandcrumb, Casale Media, Chartbeat, comScore, Criteo, Cxense, eXelate, Eyeota, Facebook, freegeoip.net, Gallup, Gemius, Ghostery, Google, Improve Digital, Iponweb, LiveRamp, Lotame, Neustar, Ooyala, PubMatic, Pushwoosh, Quisma, Rubicon Project, SmartyAds, Suzumuchi, Tradedoubler, Turn, Unibet, UserReport, Widespace, Xaxis og Zayo). Indholdet er ikke krypteret.

Børsen:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Admeta, AOL, AppNexus, Better Banners, Cxense, Delta Projects, Gallup, Google, GroupM, MADS, Media Innovation Group, Mixpanel, OpenX, Realtime Targeting, Smaato, Smartclip, SpotXchange, UserReport, Zuuvi). Indholdet er ikke krypteret.

DR Nyheder:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Crashlytics, Gallup, Gemius, Google og Urban Airship). Indholdet er ikke krypteret.

fyens.dk:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Digital Advisor). Dertil kalder appen en tjeneste, der kan registrere brugeradfærd, men som - ligesom fyens.dk - er ejet af Jysk Fynske Medier (fmAdserving). Indholdet er ikke krypteret.

Jyllands Posten:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (AOL, comScore, Crashlytics, Trifork). Det var ikke muligt endeligt at afgøre, om indholdet var krypteret.

MX:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (8Bit, Adform, Cxense, Facebook, Gemius, Google, MADS, PubMatic og Traqli). Indholdet er ikke krypteret.

Radio24syv:
Kalder ingen eksterne tjenester og ingen umiddelbar registrering af brugeradfærd. Indholdet er ikke krypteret.

Tv fra Folketinget:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Google). Indholdet er ikke krypteret.

TV 2 Nyhedscenter:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adobe, Chartbeat, Conviva, Crashlytics, Cxense, Gallup, Gemius, Google, Semasio, thePlatform, Yahoo og Zayo). Indholdet er ikke krypteret.

TV/MIDT-VEST:
Kalder eksterne tjenester, der i vist omfang kan registrere brugeradfærd (Yahoo og Releaze). Indholdet er ikke krypteret.

 

Fæl skuffelse

Umiddelbart skuffer undersøgelsen mig ganske fælt. Den påviser med al tydelighed, at danske medier i kun meget begrænset omfang beskytter brugerne af deres apps. Et er, at de potentielt bløder data til eksterne tjenester. Værre er, at de ikke oplyser brugerne om, hvordan de indsamler, anvender og gemmer de data, som de potentielt kan indfange.

Flere danske medier har fokuseret på, hvordan for eksempel Facebook indsamler data om os. Men sandheden er, at mange danske medier indsamler lignende data via eksterne tjenester. Den største forskel er egentlig, at Facebook bevarer kontrollen over data, mens danske medier bløder data til eksterne partnere og dermed mister kontrollen.

Endeligt skuffer det mig også, at medierne kun i meget begrænset omfang beskytter det indhold, de sender til brugerne. Det er ikke svært at kryptere forbindelsen mellem en bruger og et medie, men kryptering er alt andet end standard. Og her kan danske medier netop lære noget af Facebook og Twitter, der krypterer forbindelsen mellem bruger og server. Kryptering (via HTTPS) er ikke absolut sikkerhed. Men det er radikalt bedre at kryptere end slet ikke at gøre noget.

Kun Radio24syv stikker for alvor ud. For det positive. Hvis radiostationen krypterede indholdet, ville jeg bryde ud i sang og dans af glæde. Og det sker ikke hver dag.

Seneste nyheder

18.08.2017 · 15:48

Bør man bringe navnet på sigtet ubådsejer? Medierne er uenige

Anne-Laura Hedegaard
18.08.2017 · 15:32

TV 2 News skal også sende 22-nyheder i weekenden

Anne-Laura Hedegaard
18.08.2017 · 12:55

Hope Hicks overtager kommunikationspost efter Scaramucci

Anne-Laura Hedegaard
18.08.2017 · 12:40

Kritik: EB skrev ikke, at sigtet nægtede sig skyldig

Kerstin Bruun-Hansen

Seneste jobopslag

Kommunikationsmedarbejder med pionérånd

Lev Uden Vold
Ansøgningsfrist: 30.08

Bolig Magasinet søger digital journalist

BENJAMIN MEDIA A/S
Ansøgningsfrist: 11.09

Journalist i København

Jyllands-Posten
Ansøgningsfrist: 25.08

Leder til centralt kommunikationsteam

Teknologisk Institut
Ansøgningsfrist: 03.09

Presserådgiver

Nationalmuseet
Ansøgningsfrist: 24.08

Journalist til nyhedsredaktion

JydskeVestkysten
Ansøgningsfrist: 11.09

Tv-tilrettelægger og vært til Døvefilm

Døvefilm
Ansøgningsfrist: 21.08

Videojournalist (barselsvikariat)

DTU
Ansøgningsfrist: 30.08

Webredaktør med gennemslagskraft til intranet og hjemmeside

Greve Kommune
Ansøgningsfrist: 21.08

Journalist og pressemedarbejder

Erhvervsakademi Dania
Ansøgningsfrist: 03.09

DISCOVERY NETWORKS DANMARK SØGER DIGITAL PR-KONSULENT

Discovery Networks Danmark
Ansøgningsfrist: 08.09

Journalist/kommunikatør til karriere- og erhvervsartikler

Ingeniørforeningen, IDA
Ansøgningsfrist: 20.08

Stærk kommunikatør og projektleder (vikariat)

Stevns Kommune
Ansøgningsfrist: 20.08

Studerende til Styrelsen for Patientsikkerheds kommunikationsteam

Styrelsen for Patientsikkerhed
Ansøgningsfrist: 04.09

Er du vores nye medieredaktør?

Dyrenes Beskyttelse
Ansøgningsfrist: 21.08