Medie-apps sikrer ikke brugerne

Medierne kritiserer Facebook for at indsamle brugernes data, men medierne gør det samme med deres apps, viser blogger Filip Wallbergs gennemgang af ti medie-apps. "Umiddelbart skuffer undersøgelsen mig ganske fælt," skriver han
27.01.2016 · 11:45
Filip Wallbergs billede
Filip Wallberg

Vi har efterhånden lært, at vores adfærd på internettet bliver registreret, analyseret og gemt med henblik på statistik og målrettede annoncer. Men apps, der i udgangspunktet opleves som mere sikre af mig som bruger, er indtil nu gået ganske fri fra granskningen. Derfor har jeg undersøgt ti apps fra danske medier, der er tilgængelige i App Store hos Apple.

Jeg har undersøgt de ti apps onsdag den 20. januar 2015 med en iPhone 6 og programmet Debookee, der kan registrere trafik på et netværk. Testen er ikke definitiv, og den skal tages med et vist forbehold, selvom testen underbygger fire væsentlige pointer:

  1.  Apps udviklet direkte til iOS kalder færre eksterne tjenester end apps, der blot pakker en hjemmeside pænt ind. Du kan se forskellen mellem Børsen (se listen længere nede), der pakker sin hjemmeside ind i en app, og Jyllands Posten, der umiddelbart har udviklet en dedikeret app til iOS. Jyllands Posten kalder radikalt færre eksterne tjenester end Børsen.
  2. Ni af de ti apps krypterer helt sikkert ikke indholdet. Det vil sige, at alle tekniske bindeled mellem medie og bruger kan se det indhold, som brugeren henter. Det betyder, at en udbyder for eksempel kan registrere og analysere indholdet, hvis man åbner en app, når man er koblet på offentlig wifi. Og dermed kan udbyderen indsamle værdifuld data om dig og dine vaner.
  3. Der er stor forskel på de eksterne tjenester, som de ti apps kalder. Fælles er dog, at langt de fleste - især de kommercielle - deler data med eksterne partnere, der har fokus på dataindsamling og registrering af brugeradfærd. Cxense, der tilbyder personificering af indhold og målrettede annoncer, bliver kaldt i fire af de ti apps.
  4. Kun hvis du oplyser navn, telefonnummer, e-mail adresse eller lignende, kan de enkelte apps koble registrering af brugeradfærd til dig som person. Alligevel vil brugeradfærden dog - over tid - kunne afsløre væsentlige detaljer om politisk ståsted, alder og køn, uden at registreringen fremgår tydelig i de forskellige apps.

Herunder finder du en liste over de ti apps, jeg har undersøgt, og de eksterne tjenester, som appen umiddelbart kalder.

BT:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adition, Adobe, AppNexus, Brandcrumb, Casale Media, Chartbeat, comScore, Criteo, Cxense, eXelate, Eyeota, Facebook, freegeoip.net, Gallup, Gemius, Ghostery, Google, Improve Digital, Iponweb, LiveRamp, Lotame, Neustar, Ooyala, PubMatic, Pushwoosh, Quisma, Rubicon Project, SmartyAds, Suzumuchi, Tradedoubler, Turn, Unibet, UserReport, Widespace, Xaxis og Zayo). Indholdet er ikke krypteret.

Børsen:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Admeta, AOL, AppNexus, Better Banners, Cxense, Delta Projects, Gallup, Google, GroupM, MADS, Media Innovation Group, Mixpanel, OpenX, Realtime Targeting, Smaato, Smartclip, SpotXchange, UserReport, Zuuvi). Indholdet er ikke krypteret.

DR Nyheder:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Crashlytics, Gallup, Gemius, Google og Urban Airship). Indholdet er ikke krypteret.

fyens.dk:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Digital Advisor). Dertil kalder appen en tjeneste, der kan registrere brugeradfærd, men som - ligesom fyens.dk - er ejet af Jysk Fynske Medier (fmAdserving). Indholdet er ikke krypteret.

Jyllands Posten:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (AOL, comScore, Crashlytics, Trifork). Det var ikke muligt endeligt at afgøre, om indholdet var krypteret.

MX:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (8Bit, Adform, Cxense, Facebook, Gemius, Google, MADS, PubMatic og Traqli). Indholdet er ikke krypteret.

Radio24syv:
Kalder ingen eksterne tjenester og ingen umiddelbar registrering af brugeradfærd. Indholdet er ikke krypteret.

Tv fra Folketinget:
Kalder en ekstern tjeneste, der i et vist omfang kan registrere brugeradfærd (Google). Indholdet er ikke krypteret.

TV 2 Nyhedscenter:
Kalder eksterne tjenester, der i et vist omfang kan registrere brugeradfærd (Adform, Adobe, Chartbeat, Conviva, Crashlytics, Cxense, Gallup, Gemius, Google, Semasio, thePlatform, Yahoo og Zayo). Indholdet er ikke krypteret.

TV/MIDT-VEST:
Kalder eksterne tjenester, der i vist omfang kan registrere brugeradfærd (Yahoo og Releaze). Indholdet er ikke krypteret.

 

Fæl skuffelse

Umiddelbart skuffer undersøgelsen mig ganske fælt. Den påviser med al tydelighed, at danske medier i kun meget begrænset omfang beskytter brugerne af deres apps. Et er, at de potentielt bløder data til eksterne tjenester. Værre er, at de ikke oplyser brugerne om, hvordan de indsamler, anvender og gemmer de data, som de potentielt kan indfange.

Flere danske medier har fokuseret på, hvordan for eksempel Facebook indsamler data om os. Men sandheden er, at mange danske medier indsamler lignende data via eksterne tjenester. Den største forskel er egentlig, at Facebook bevarer kontrollen over data, mens danske medier bløder data til eksterne partnere og dermed mister kontrollen.

Endeligt skuffer det mig også, at medierne kun i meget begrænset omfang beskytter det indhold, de sender til brugerne. Det er ikke svært at kryptere forbindelsen mellem en bruger og et medie, men kryptering er alt andet end standard. Og her kan danske medier netop lære noget af Facebook og Twitter, der krypterer forbindelsen mellem bruger og server. Kryptering (via HTTPS) er ikke absolut sikkerhed. Men det er radikalt bedre at kryptere end slet ikke at gøre noget.

Kun Radio24syv stikker for alvor ud. For det positive. Hvis radiostationen krypterede indholdet, ville jeg bryde ud i sang og dans af glæde. Og det sker ikke hver dag.

Seneste nyheder

19.01.2017 · 14:21

Nordjysk magasin fyldt med halv-skjulte reklamer siden 2009

Anonymous (ikke efterprøvet)
19.01.2017 · 10:30

"Samlet set har danskerne næppe tidligere fået så mange nyheder"

Andreas Marckmann Andreassen
19.01.2017 · 08:30

Far kræver 200.000 kr. fra DR for brug af søns dronevideo

Maria Brus Pedersen
18.01.2017 · 15:37

Aftale på plads for fyrede fotografer

Andreas Marckmann Andreassen

Betalt indhold – hvor høj er prisen?

Medier over hele verden satser på annoncer, der ligner journalistik. Det skal mærkes som annoncer, men ofte er markeringen fraværende eller svær at forstå. De kommende dage sætter Journalisten fokus på betalt indhold – fra Danmark til New York Times.

Seneste jobopslag

INSPIRERENDE KOMMUNIKATIONSCHEF

INSTITUT FOR MENNESKERETTIGHEDER
Ansøgningsfrist: 31.01

Digital redaktør

Kvinfo
Ansøgningsfrist: 03.02

Har du lyst til at skrive om Tyskland til Danmark?

Flensborg Avis AG
Ansøgningsfrist: 27.01

Kommunikationsmedarbejder til Energibyen Frederikshavn

Frederikshavn Kommune
Ansøgningsfrist: 30.01

Journalist/skribent

Danske Bank
Ansøgningsfrist: 30.01

Nyhedsjournalist

Helsingør Dagblad
Ansøgningsfrist: 06.02

NYHEDSREDAKTØR til TV 2/Bornholm

TV 2/Bornholm
Ansøgningsfrist: 22.02

Studentermedhjælp til LO’s presseteam

LO • Landsorganisationen i Danmark
Ansøgningsfrist: 20.01

Digital nyhedsredaktør til Berlingske

Berlingske Media A/S
Ansøgningsfrist: 19.01

Digital content manager

Red Barnet
Ansøgningsfrist: 19.01

Fagbladet Folkeskolen med netmedier søger redigerende bladredaktør

Fagbladet Folkeskolen
Ansøgningsfrist: 27.01

Skarp og dagsordenssættende pressekonsulent

Københavns Kommune
Ansøgningsfrist: 22.01