Medie-apps sikrer ikke brugerne

Medierne kritiserer Facebook for at indsamle brugernes data, men medierne gør det samme med deres apps, viser blogger Filip Wallbergs gennemgang af ti medie-apps. "Umiddelbart skuffer undersøgelsen mig ganske fælt," skriver han
27.01.2016 · 11:45
Filip Wallbergs billede
Filip Wallberg

Vi har efterhånden lært, at vores adfærd på internettet bliver registreret, analyseret og gemt med henblik på statistik og målrettede annoncer. Men apps, der i udgangspunktet opleves som mere sikre af mig som bruger, er indtil nu gået ganske fri fra granskningen. Derfor har jeg undersøgt ti apps fra danske medier, der er tilgængelige i App Store hos Apple.

Jeg har undersøgt de ti apps onsdag den 20. januar 2015 med en iPhone 6 og programmet Debookee, der kan registrere trafik på et netværk. Testen er ikke definitiv, og den skal tages med et vist forbehold, selvom testen underbygger fire væsentlige pointer:

  1.  Apps udviklet direkte til iOS kalder færre eksterne tjenester end apps, der blot pakker en hjemmeside pænt ind. Du kan se forskellen mellem Børsen (se listen længere nede), der pakker sin hjemmeside ind i en app, og Jyllands Posten, der umiddelbart har udviklet en dedikeret app til iOS. Jyllands Posten kalder radikalt færre eksterne tjenester end Børsen.
  2. Ni af de ti apps krypterer helt sikkert ikke indholdet. Det vil sige, at alle tekniske bindeled mellem medie og bruger kan se det indhold, som brugeren henter. Det betyder, at en udbyder for eksempel kan registrere og analysere indholdet, hvis man åbner en app, når man er koblet på offentlig wifi. Og dermed kan udbyderen indsamle værdifuld data om dig og dine vaner.
  3. Der er stor forskel på de eksterne tjenester, som de ti apps kalder. Fælles er dog, at langt de fleste - især de kommercielle - deler data med eksterne partnere, der har fokus på dataindsamling og registrering af brugeradfærd. Cxense, der tilbyder personificering af indhold og målrettede annoncer, bliver kaldt i fire af de ti apps.
  4. Kun hvis du oplyser navn, telefonnummer, e-mail adresse eller lignende, kan de enkelte apps koble registrering af brugeradfærd til dig som person. Alligevel vil brugeradfærden dog - over tid - kunne afsløre væsentlige detaljer om politisk ståsted, alder og køn, uden at registreringen fremgår tydelig i de forskellige apps.

Herunder finder du en liste over de ti apps, jeg har undersøgt, og de eksterne tjenester, som appen umiddelbart kalder.

BT:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adition, Adobe, AppNexus, Brandcrumb, Casale Media, Chartbeat, comScore, Criteo, Cxense, eXelate, Eyeota, Facebook, freegeoip.net, Gallup, Gemius, Ghostery, Google, Improve Digital, Iponweb, LiveRamp, Lotame, Neustar, Ooyala, PubMatic, Pushwoosh, Quisma, Rubicon Project, SmartyAds, Suzumuchi, Tradedoubler, Turn, Unibet, UserReport, Widespace, Xaxis og Zayo). Indholdet er ikke krypteret.

Børsen:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Admeta, AOL, AppNexus, Better Banners, Cxense, Delta Projects, Gallup, Google, GroupM, MADS, Media Innovation Group, Mixpanel, OpenX, Realtime Targeting, Smaato, Smartclip, SpotXchange, UserReport, Zuuvi). Indholdet er ikke krypteret.

DR Nyheder:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Crashlytics, Gallup, Gemius, Google og Urban Airship). Indholdet er ikke krypteret.

fyens.dk:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Digital Advisor). Dertil kalder appen en tjeneste, der kan registrere brugeradfærd, men som - ligesom fyens.dk - er ejet af Jysk Fynske Medier (fmAdserving). Indholdet er ikke krypteret.

Jyllands Posten:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (AOL, comScore, Crashlytics, Trifork). Det var ikke muligt endeligt at afgøre, om indholdet var krypteret.

MX:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (8Bit, Adform, Cxense, Facebook, Gemius, Google, MADS, PubMatic og Traqli). Indholdet er ikke krypteret.

Radio24syv:
Kalder ingen eksterne tjenester og ingen umiddelbar registrering af brugeradfærd. Indholdet er ikke krypteret.

Tv fra Folketinget:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Google). Indholdet er ikke krypteret.

TV 2 Nyhedscenter:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adobe, Chartbeat, Conviva, Crashlytics, Cxense, Gallup, Gemius, Google, Semasio, thePlatform, Yahoo og Zayo). Indholdet er ikke krypteret.

TV/MIDT-VEST:
Kalder eksterne tjenester, der i vist omfang kan registrere brugeradfærd (Yahoo og Releaze). Indholdet er ikke krypteret.

 

Fæl skuffelse

Umiddelbart skuffer undersøgelsen mig ganske fælt. Den påviser med al tydelighed, at danske medier i kun meget begrænset omfang beskytter brugerne af deres apps. Et er, at de potentielt bløder data til eksterne tjenester. Værre er, at de ikke oplyser brugerne om, hvordan de indsamler, anvender og gemmer de data, som de potentielt kan indfange.

Flere danske medier har fokuseret på, hvordan for eksempel Facebook indsamler data om os. Men sandheden er, at mange danske medier indsamler lignende data via eksterne tjenester. Den største forskel er egentlig, at Facebook bevarer kontrollen over data, mens danske medier bløder data til eksterne partnere og dermed mister kontrollen.

Endeligt skuffer det mig også, at medierne kun i meget begrænset omfang beskytter det indhold, de sender til brugerne. Det er ikke svært at kryptere forbindelsen mellem en bruger og et medie, men kryptering er alt andet end standard. Og her kan danske medier netop lære noget af Facebook og Twitter, der krypterer forbindelsen mellem bruger og server. Kryptering (via HTTPS) er ikke absolut sikkerhed. Men det er radikalt bedre at kryptere end slet ikke at gøre noget.

Kun Radio24syv stikker for alvor ud. For det positive. Hvis radiostationen krypterede indholdet, ville jeg bryde ud i sang og dans af glæde. Og det sker ikke hver dag.

Seneste nyheder

30.09.2016 · 12:40

Vietnam-billede lukker Poul Madsens Facebook

Ole Obitsø
30.09.2016 · 11:41

P3 skal have en ny musikchef

Ole Obitsø

Seneste jobopslag

Digital strateg

Danmarks Nationalbank
Ansøgningsfrist: 10.10

Presseansvarlig til SKAT

Skat
Ansøgningsfrist: 11.10

Dansk Socialrådgiverforening (DS) søger en kommunikations- og pressekonsulent

Dansk Socialrådgiverforening
Ansøgningsfrist: 02.10

Presseansvarlig til Danica Pension

Danske Bank
Ansøgningsfrist: 04.10

Kommunikationsansvarlig

Filadelfia
Ansøgningsfrist: 03.10