17:27
2/6/2022

Skandal w Kanadzie. Taka ich, powiedzmy, lokalna Żabka/kawiarnia miała aplikację mobilną. Zachęcali klientów do jej pobrania. Bo wiadomo, zniżki. Aplikacji przyjrzał się kanadyjski odpowiednik naszego Urzędu Ochrony Danych Osobowych. I włos mu się na głowie zjeżył…

Tim Hortons (to nazwa tej sieci handlowej — dop. red.) mocno przekroczył granicę. Zbierał za dużo bardzo wrażliwych danych. Śledził to gdzie ludzie się przemieszczają. Co kilka minut. Każdego dnia. To ewidentnie forma inwigilacji — Daniel Therrien, odpowiednik naszego PUODO

Analiza aplikacji wykazała, że sklepowa aplikacja śledziła to, czy klienci odwiedzają konkurencje. Okazało się, że sklep planował nawet nawracać tych klientów, którzy na stale przerzucili się na zakupy u konkurencji. Mieli otrzymywać sprofilowane kampanie reklamowe. Finalnie ponoć jednak z tego pomysłu nie skorzystano. Z danych lokalizacyjnych sklep nie skorzysta zresztą już w ogóle, bo otrzymał nakaz ich usunięcia. Autorzy aplikacji tłumaczą się, że dane pozyskiwane były w sposób anonimowy… Problem w tym, że po tym gdzie ktoś spędza noce i gdzie bywa w godzinach 9-17 można tego kogoś dość łatwo zdeanonimizować.

Oczywiście aplikacja prosiła klientów o zgodę na dostęp do danych lokalizacyjnych. Ale wedle regulatora, wprowadzała klientów w błąd, sugerując że dane o lokalizacji będzie pozyskiwać tylko w trakcie korzystania z aplikacji, a nie stale.

Mam aplikację sklepu X — co robić, jak żyć?

Ten incydent to dobry powód, aby przejrzeć ustawienia prywatności na swoim smartfonie.

    Na iPhonie, wszystkie aplikacje które korzystają z danych lokalizacyjnych znajdziecie w menu Ustawienia -> Prywatność -> Usługi Lokalizacyjne. Ale w menu Ustawienia -> Prywatność warto też dodatkowo “zjechać” na sam dół, bo tam znaleźć można bardzo przydatny “Raport prywatnościowy”. Dzięki niemu zobaczycie, do czego ostatnio różne aplikacje uzyskiwały dostęp, z czym się łączyły i jak często.

    Na Androidzie podobny efekt można osiągnąć zaglądając w menu Aplikacje w Ustawieniach. Potem trzeba wybrać sortowanie po “uprawnieniach” i typ “Lokalizacja“.

Przejrzyjcie zwłaszcza aplikacje sklepów i innych przybytków, które regularnie odwiedzacie. I dajcie znać w komentarzach, ile z nich poprosiło Was o dostęp do lokalizacji. Oraz jak to wytłumaczyło ;) A jak chcecie zobaczyć jak wnikliwie kanadyjski UODO sprawdzał aplikację, to ujawniony, szczegółowy raport z analizy jest dostępny tutaj. Pasjonująca lektura.

Przeczytaj także:





Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. Usługi lokalizacyjne dla Tim Hortons świadczyła amerykańska firma. Zawarta umowa dawała tej firmie prawo do sprzedaży zanonimizowanych danych lokalizacyjnych klientów.
    Na Tim Hortons nie zostaną nałożone żadne kary bo kanadyjskie prawo tego nie przewiduje. O ukaranie sieci będą się starli klienci, którzy planują wytoczyć firmie cztery procesy grupowe.

    Tim Hortons app tracked personal data without ample consent: report
    https://www.youtube.com/watch?v=O8hr7wdvrP0
    Privacy Commissioners: Tim Hortons app tracked Canadians
    https://www.youtube.com/watch?v=3w9o23ByEYs

    • “Na Tim Hortons nie zostaną nałożone żadne kary bo kanadyjskie prawo tego nie przewiduje.”

      I to jest wlasnie glupota i brak perspektywicznego myslenia. Glupiec mysli ze jak przestanie karac sie kradzierze to ucierpia tylko jej bezposrednie ofiary. W rzeczywistosci straca tez ludzie do ktorych te pieniadze wczesniej mialy trafic, inwestycje straca sens na wielu poziomach, wydajnosc poleci na leb na szyje, wzrosnie brutalna przestepczosc, a same grupy przestepcze urosna w sile do tego stopnia ze nawet profesjonalna armia bedzie miala z nimi problem.
      Wystarczy popatrzec ilu ludzi zyje w ameryce srodkowej, poludniowej i duzej czesci afryki i przypomniec sobie kiedy ostatni slyszales o innych ich osiagnieciach niz kolejnu wielki pomnik Jezusa czy rekordowy przemyt?

  2. witamy w nowym świecie
    idziesz do duużego sklepu wędkarskiego
    przebywasz tam z pół godziny
    w drodze powrotnej, stojąc na światłach odpalasz gugla, by porównać cenę kołowrotka
    przed wynikami wyszukiwania widzisz reklamę sklepu, w którym byłeś przed chwilą
    znów zapomniałeś wyłączyć usługi lokalizacyjne, po wyjściu z auta, przed wejściem do sklepu
    :)

  3. Czy mając aplikację X i wyłączając dla niej Usługi Lokalizacyjne czy jakieś inne wierzycie, że aplikacja X nie wysyła nadal danych?

    • Nie może bo o nie ma dostępu do tego interfejsu sprzętowego API.

    • Może i wysyła, tylko nie są to dane lokalizacyjne, bo ich nie odczyta z systemu. Co więcej, w nowszych systemach możesz ustawić, by aplikacja otrzymywała informacje “zgrubne”, czyli z dużą losowością z większej okolicy.
      Aczkolwiek i tak to się wykłada na czynniku ludzkim, bo większość daje pełne uprawnienia każdej aplikacji, no i później jest, jak jest.

  4. Mam Google Android, który robi to samo, co robić, jak żyć, gdy gdzieś ma to PUODO…

    • Ależ przecież nie musisz mieć google …. Możesz mieć … no właśnie … Co można mieć? Apple ? A może jakieś stare blackberry ?
      Jest jakiś sensowny OS na telefony ?

    • Jest, SailfishOS, co więcej wersja płatna pozwala nawet na uruchamianie aplikacji Androidowych

  5. LineageOS wspiera najwięcej telefonów. Jest wersja w ogóle bez googla i wersja z microG.
    Ewentualnie GrapheneOS lub PureOS.

  6. Przecież portal pisze że aplikacje ze sklepu gugla są najbezpieczniejsze – jeśli ktoś pobrał aplikację z tego bezpiecznego sklepu to może powinien dostać odszkodowanie od sklepu za udostępnienie konia trojańskiego?

    Aż się boję myśleć co by było jakbym używał tych zabójczych plików apk, chyba by mi telefon eksplodował

    • Domyślam się, że to sarkazm, ale dopiszę coś od siebie. Śledzenie użytkownika nie jest traktowane przez google jako mechanizm szkodliwy. Tak więc aplikacje korzystające z takich rozwiązań będą w sklepie oznaczane jako bezpieczne.

      Co do apk, to bardzo dobre źródło aplikacji, apk można pobrać nawet z własnego urządzenia i przechowywać je jako wersje archiwalne – google trzyma tylko najnowsze wersje, czasami aktualizacja psuje lub usuwa przydatne funkcje.
      Natomiast dla apk pochodzących z tzw. źródeł trzecich nie ma prostej metody na ocenę, czy jest to wciąż poprawna aplikacja czy też aplikacja ze złośliwym dodatkiem.

    • Osobiście spotkałem się z fałszywką gry Clash of Kings, pobranej w formie apk z jakiegoś portalu typu apkhere. Pliki apk są kompresowane zipem więc łatwo je rozpakować. Autor tamtego ścierwa aby je uwiarygodnić napchał do środka sporo plików png o rozmiarach po 8MB (oryginalna instalka gry zajmuje od 150 do 200MB). Nie instalowałem więc nie wiem co tamta fałszywka robiła, ale naciąć się jest łatwo.

  7. Czasem czuję się stary jak takie rzeczy czytam. Pomijając już, że żadnych aplikacji nie instaluję, bo te parę złotych nie jest imo warte syfu na telefonie, ale też nie rozumiem po co komu włączone dane komórkowe i co więcej lokalizacyjne? Ja to uruchamiam tylko w momencie kiedy potrzebuję i od razu odłączam później – kiedyś tak “uczyli” że to dobre dla baterii, no i net kosztował w cholerę…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: