Gezondheidsapps zijn vaak onveilig. Gebruikersdata in medische en gezondheidsapps zijn gevoelig voor misbruik, laten verschillende recente studies zien. Niet alleen liften er ongemerkt tientallen trackingcookies mee op de betreffende apps, ook de beveiliging rammelt aan alle kanten. Bovendien maken veel aanbieders een potje van het privacy-beleid.
Al ruim voor de corona-epidemie zaten gezondheidsgerelateerde apps in de lift. De pandemie heeft deze trend versneld, mede door de groeiende bereidheid van professionals om dergelijke apps in te zetten. Maar voorzichtigheid is geboden, blijkt uit een recente publicatie in British Medical Journal. “Mobiele gezondheidsapps gaan gebukt onder ernstige privacy-problemen en inconsistente privacyregels”, constateren wetenschappers van de Australische Macquarie University in Sydney. “Clinici moeten zich hiervan bewust zijn en de patiënt deelgenoot maken bij het afwegen van voor- en nadelen van zorgapps.”
Voor de studie onderzochten de wetenschappers bijna 21 duizend apps uit de Google Play store, waarvan ruim achtduizend kunnen worden aangemerkt als ‘medisch’ en bijna dertien duizend onder het kopje ‘gezondheid en fitness’ vallen. Bijna negentig procent van deze apps maakt gebruik van tracking cookies, waarmee gebruikersinformatie kan worden opgehaald.
Advertentiebureaus
De Britse consumentenwebsite Which? zocht eerder dit jaar uit hoe dit in de praktijk werkt. Afvallen via de site van WW, voorheen Weight Watchers? Geïnteresseerden krijgen in een paar clicks 225 cookies aangesmeerd, waarvan 87 volg-cookies. Bijna net zo bont maakt fitness-app MyFitnessPal het. Deze toepassing van sportmerk UnderArmour telt 138 cookies, waar er volgens Which? maar zes functioneel nodig zijn. 87 Cookies zijn terug te leiden tot derde partijen, waaronder 25 advertentiebureaus.
Niet transparant
Volgens de Australische onderzoekers zijn aanbieders van gezondheidsapps allesbehalve transparant over het gebruik van cookies als de bovenstaande. Bijna een derde (28 procent) van de aanbieders hanteert geen privacyrichtlijnen of maakt daar in ieder geval geen melding van. Van de aanbieders die dit wel doen, houdt nog niet de helft zich aan de eigen richtlijnen.
Onbewuste uitruil
Bijkomend probleem is volgens technisch directeur Tom Davison van mobiele databeveiliger Lookout dat gebruikers zich nauwelijks realiseren hoe makkelijk ze persoonlijke informatie uitruilen. “De meeste gebruikers zijn toegerust noch bereid om eindeloze privacy-verklaringen door te spitten”, aldus Davis. “Terwijl dat de enige manier is om vast te stellen hoe apps data ontsluiten, opslaan, verzenden en delen.”
API is Achilleshiel
Volgens techneuten schuilt het grootste gevaar echter niet in ondeugdelijke privacyregels, maar in de gebruikte software. Achilleshiel vormen de zogeheten Application programming interfaces (API’s), waarmee digitale toepassingen met elkaar kunnen communiceren. De Amerikaanse hacker Alissa Knight, die eerder in no time zelfrijdende auto’s van de Amerikaanse politie wist te kraken, testte onlangs dertig veelgebruikte gezondheidsapps. Zonder uitzondering vertoonden ze dunne plekken; in zeker de helft van de gevallen wist Knight via API’s toegang te krijgen tot gevoelige patiëntinformatie, zoals medicijngebruik, diagnostische informatie, lab-uitslagen en verzekeringsnummers.
Onveilige protocollen
Knights bevindingen worden ondersteund door het Australische onderzoek. Waar data gedeeld en verzonden worden gebeurt dat in bijna een kwart van de gevallen via onveilige communicatieprotocollen. Met name waar het gevoelige informatie als wachtwoorden en geo-locatie betreft is dit zorgelijk, aldus de onderzoekers.
Geen minimale vereisten
Wie denkt dat apps in Google of Apple store voldoen aan zekere minimale veiligheidsvereisten, komt bedrogen uit. Veel apps blijken het gebruik van boterzachte wachtwoorden toe te staan. Ook dubbele authenticatie is bepaald geen standaard. En dan zijn er nog de aanbieders die verouderde software in hun toepassing verwerken.
Kostbare informatie
Als er nog geruststellend nieuws voor mHealth-gebruikers is, dan is het dat zorgapps minder data verzamelen en delen dan andere apps. Ook is het aantal derde partijen dat is aangehaakt kleiner. Medische apps doen het in dit opzicht beter dan fitness- en lifestyle-apps. Dit laat onverlet dat juist de informatie die via medische apps wordt ontsloten op de belangstelling van kwaadwillenden kan rekenen. Naar verluidt bedraagt de vraagprijs voor een patiëntendossier op het darkweb duizend dollar per stuk, bijna tien keer meer dan creditcard-gegevens.
VERDER LEZEN:
‘Most Critical API Security Risks’, Open Web Application Security Project (OWASP)
Imperfect People, Vulnerable Applications, Osterman Research
Mobile Security Index 2021, Verizon
All That We Let In – mHealth Apps and APIs Are Easy to Hack, Alissa Knight & Approov