De mest nedladdade apparna inom bank, vård, hälsa, livsmedel och utbildning skickar användarnas känsliga data vidare, oftast till mottagare utanför EU.
En granskning av de 75 mest använda apparna inom bank och finans, vård, utbildning, hälsa och livsmedel visar att 87% av den skickar data till externa aktörer även om användaren uttryckligen sagt nej.
Granskningen, som gjorts av Shibuya och Peak Privacy visar att 95% av de appar som skickar data till externa aktörer dessutom överför information till länder utanför EU, främst USA och Kanada.
Andreas Lundgren, ansvarig för compliance och security på svenska molnleverantören Shibuya säger att det här gäller många av de appar vi använder i vardagen och att det blir särskilt allvarligt när det handlar om samhällsbärande tjänster som vi ska kunna lita på.
Bank- och livsmedelsapparna utmärker sig genom att alla granskade appar inom de segmenten gör så kallade tredjepartsanrop, som innebär att appen kommunicerar med en extern part för att hämta eller skicka data. I övriga kategorier gäller det majoriteten av apparna.
Analysen av apparna har genomförts i Peak Privacys testmiljö, där de körs och deras nätverkstrafik loggas autonomt.
All trafik som har dokumenterats har skickats utan användarens samtycke, antingen för att samtycke har nekats, eller för att appen aldrig har frågat.
Testmiljön har bland annat identifierat apparnas nätverksanrop och mottagarna för de datapaket de har skickat, samt den geografiska placeringen och vilken typ av data det handlar om.
Tidigare avslöjande visar att datan kan användas för att kartlägga både känsliga verksamheter och individers rörelser och ageranden, säger Andreas Lundgren i ett pressmeddelande.
De flesta apputgivare vet inte vad deras egen app gör i bakgrunden. Färdiga komponenter följer med från utvecklare och leverantörer, ofta utan att den som publicerar appen vet vad de skickar eller till vem. Det är där den globala adtechindustrins infrastruktur kommer in i appar som annars inte har någonting med reklam att göra, säger dataskyddsspecialisten och Peak Privacys medgrundare Vibeke Specht i pressmeddelandet.
I granskningen identifieras också appar som har en jämförelsevis stark integritet och säkerhet. En av de apparna är Sveriges mest använda vårdapp vårdföretaget Krys app.
Den appen gjorde vid granskningen varken anrop till tredjepartsnätverk för annonsering eller spårning av användarens beteende och all trafik gick till Krys egna servrar som finns inom EU och EES.
Kvalitet och säkerhet är grundstenar i sjukvården och för Kry är det därför en självklarhet att vår app ska följa de krav som patienterna förväntar sig. Den höga säkerhetsnivån bygger dels på den kompetens som finns inom Kry, dels på att vi sedan starten 2015 konsekvent har prioriterat säkerhet och skyddet av våra användares integritet, säger Andreas Mattsson, chief architect på Kry, i pressmeddelandet.
Andreas Lundgren menar att data från appar bara är toppen av isberget när det kommer till integritet och säker datahantering.
Samma mönster kan skönjas i många företags hantering av sin egen, affärskritiska data. Cyberresiliens handlar ytterst om kontroll, om var den lagras och övervakas. Genom att ta tillbaka kontrollen över datan skapar vi företag och ett samhälle som bättre kan stå emot hotbilder, säger han i pressmeddelandet.
