lu.se

Datavetenskap

Lunds Tekniska Högskola

Denna sida på svenska This page in English

Digitalt fingeravtryck hotar din integritet

2018-10-16

Med fyra appar vet man vem du är. Bild: MostPhotos.

Dina mobilappar bildar ett unikt digitalt fingeravtryck. Det kan köpas av vem som helst. Annonsörerna gnuggar händerna. Och i värsta fall även utpressare och bedragare.

Håkan Jonsson är färsk doktor i datavetenskap vid LTH i Lund. Men samtalet kommer från Berlin. Där har Håkan nyligen börjat sin tjänst på klädnätsjätten Zalando. Han är chef för ett matematiskt team, som beräknar hur många nya plagg det är möjligt att sälja.

I en färsk avhandling har han undersökt om det är tekniskt möjligt att konstruera sociala appar, som underlättar människors sociala relationer. Vilka positiva och negativa konsekvenser ger den nya tekniken?
Håkan Jonssons forskning visar att information om en persons mobilappar bildar ett unikt digitalt fingeravtryck. 

– I en population på 3,5 miljoner användare var 99.7 procent unika i vilka appar man använde. Därför blir informationen om fingeravtryck snabbt en fråga om hur en persons integritet ska skyddas, säger Håkan Jonsson.

Han undersökte hur många appar som krävs för att ett digitalt fingeravtryck ska vara unikt. En illvillig person behöver endast använda fyra appar från en mobilanvändare, valda efter popularitetsrankning, för att kunna återidentifiera över 90% av användarna via det digitala fingeravtrycket.

Många app-konstruktörer samlar in data från telefonen och säljer vidare till annonsörer via de unika fingeravtrycken. Informationen hamnar i databaser med uppgifter om miljoner användare.

Via fingeravtrycket kan man avgöra en persons ålder, kön, religion, sexuell läggning. Det som tidigare betraktades som statistik är idag mycket känslig information, eftersom en individs identitet kan avslöjas och utnyttjas i ovälkomna reklamsammanhang, påverkanskampanjer eller ren utpressning.

När går bussen?
Telefonen anpassas alltmer efter brukaren. Kontextberoende appar sänder underrättelser med automatik, utan att du behöver be om det. Den vet vem du är, när du lämnar jobbet och visar när nästa buss går hem. 

Håkan Jonsson gjorde en fältstudie med olika applikationer han utvecklat. De kunde känna av när andra användare var i närheten. Därigenom kunde han ta reda på vad användaren fann användbart eller integritetskränkande. 

Han delade ut 175 telefoner med en förinstallerad påminnelse-app och undersökte hur den användes. Mobilappen höll reda på tid, plats och vilka personer som fanns i omedelbar närhet.
Om du till exempel lånat pengar och noterat välgöraren i appen kom en påminnelse nästa gång mobilerna kände av varandra. 

En mötesapplikation testades också. Den identifierade vilka deltagare som var närvarande och kunde automatiskt visa Linkedin- identitet med namn och bild. 

Kränker rättigheter
Håkan Jonsson ville veta om telefonen via apparna kan förstå användarens sociala situation.
 
- Dagens system för att hantera sociala relationer, t.ex. Facebook, är begränsade. De kan inte skapa eller representera relationer som vi människor gör. Men de kan använda social kontext för att underlätta samspelet människor emellan, säger han. 

Forskningen gav klara besked om brukarnas syn på integritet.

De tyckte det var okej att andras mobiler kan känna av om man är i närheten. Men de ville ha kontroll över vem som får tillgång till informationen och hur den används.

Många länder anser tredjepartsaccess till personlig data i sig som känsligt, inklusive EU-länderna. Respekt för privatlivet står med i EUs konvention om mänskliga rättigheter.

- GDPR kom till för att säkerställa att denna rättighet uppfylls av alla som vill samla in data om personer. Det absolut största caset för insamling av denna typ av data är en mångmiljardbusiness: annonsmarknaden, säger Håkan Jonsson.

Trump
Mer allvarliga missbruk av data är påverkansoperation. Trumps kampanjorganisation köpte Cambridge Analyticas tjänster. Analysföretaget använde Facebookdata för att olovligen profilera och rikta meddelanden till 87 miljoner personer. De använde en psykologisk modell för profilering. Appfingeravtryck kan profilera samma sak.

- Ett annat potentiellt missbruk är utpressning eller identitetsstöld. Om du har Tinder och är gift. Men de är ju mer direkt kriminella och inte lika omfattande. Jag anser att annonseringsfallet är det absolut viktigaste.
Håkan Jonsson talar om vikten av en etisk guideline för designers och apputvecklare. All data som samlas in måste vara känd av användaren, liksom i vilket syfte den används. Då blir applikationerna till stor hjälp i människans tjänst.

Stefan Danielsson


Fakta: Hur många appar behöver en hackare information om för att unikt kunna identifiera en person, dvs. urskilja denne från andra användare i en databas med appfingeravtryck? Svaret är att med fyra appar kan vi unikt identifiera 91 procent av användarna. Resterande 9 % kan vi inte unikt urskilja från varandra om vi inte väljer fler appar.

Håkan Jonsson, avhandling i datavetenskap vid LTH i Lund. "From Signal to Social: Steps Towards Pervasive Social Context." https://www.lunduniversity.lu.se/lup/publication/f16d575e-5c88-4545-9b18-1c98d1d54842