Πέμπτη, Νοεμβρίου 24, 2022

O "MEΓΑΛΟΣ ΑΔΕΛΦΟΣ" ΣΤΑ ΚΙΝΗΤΑ ΜΑΣ ΜΕΣΩ ΤΟΥ GOV-GR WALLET ΤΟΥ ΜΗΤΣΟΚΟΡΙΑΚΗ ΚΑΙ ΤΟΥ "ΑΡΧΙΜΑΣΤΟΡΑ" ΣΤΑ ΗΛΕΚΤΡΟΝΙΚΑ ΠΙΕΡΑΚΑΚΗ

 


Θηρευτές προσωπικών δεδομένων οι εφαρμογές του GOV.GR για κινητά

Γιάννης Μπαζαίος

ΚΥΒΕΡΝΗΣΗ

Η διαρροή προσωπικών δεδομένων ξεκίνησε από τον ίδιο τον πρωθυπουργό (το QR code της ταυτότητάς του), κατά τη διάρκεια της παρουσίασης της εφαρμογής GOV-GR WALLET μαζί με τον υπουργό Ψηφιακής Διακυβέρνησης, Κυριάκο Πιερρακάκη

________________

Περισσότερα από 1.000.000 «έξυπνα» κινητά τηλέφωνα με εγκατεστημένες εφαρμογές του GOV.GR καταγράφουν τις διαδικτυακές ή φυσικές κινήσεις του κατόχου τους και με την άδεια του ανυποψίαστου χρήστη τους αφήνουν ανοιχτές «τρύπες» ασφαλείας ή και... εμπορικής-πολιτικής αξιοποίησης, αξίας πολλών δεκάδων εκατ. ευρώ ετησίως.

Καθώς καταρρέει η εμπιστοσύνη των πολιτών στην ικανότητα και την πρόθεση της κυβέρνησης να εγγυηθεί την ασφάλεια των επικοινωνιών μέσω των κινητών τηλεφώνων, εξαιτίας της χρήσης πληθώρας κακόβουλων εφαρμογών (βλ. και σχέδιο νόμου που... νομιμοποιεί παρακολουθήσεις με τέτοια λογισμικά από την ΕΥΠ), διαπιστώνουμε ότι «θηρευτές» προσωπικών δεδομένων και εν δυνάμει μηχανές «αξιοποίησης» των δραστηριοτήτων του ανυποψίαστου χρήστη φαίνεται ότι είναι και οι κρατικές εφαρμογές για κινητά τηλέφωνα από το GOV.GR.

Δεν είναι πρωτοτυπία στα κινητά τηλέφωνα, πολλές εφαρμογές κάνουν τα ίδια και χειρότερα, αλλά από τόσο μαζικές εφαρμογές περιμέναμε κάτι καλύτερο. Και είναι προφανές ότι δεν πρέπει να συγχέουμε τη δυνατότητα με τη χρήση της. Οι περισσότερες από τις άδειες ενεργοποίησης που εξετάσαμε είναι συμβατές με τον σκοπό των εφαρμογών, άλλες πάλι ανοίγουν τεράστιες «τρύπες» ασφαλείας, ιδίως σε ανύποπτους χρήστες ή σε τηλέφωνα με παλαιότερο λειτουργικό σύστημα.

Ενδεικτικά, στο Play Store της Google καταγράφονται περισσότερες από 1.000.000 εγκαταστάσεις για κάθε μία από τις εφαρμογές «COVID Free GR» και «COVID Free GR Wallet», 500.000+ εγκαταστάσεις για τις εφαρμογές «GOV.GR» και «GOV GR Wallet», 100.000+ για την εφαρμογή «MyHealth» και τουλάχιστον 1.000 για την εφαρμογή «MyAttica» (για την Περιφέρεια Αττικής), δηλαδή περισσότερες από 3.500.000 εγκαταστάσεις, εάν προστεθούν και κινητά ή tablet της Apple. Τα δεδομένα από εκατομμύρια κινητά τηλέφωνα μπορεί να μην αφορούν μόνο (όπως δηλώνεται από τον κατασκευαστή των εφαρμογών στην παραχώρηση δικαιωμάτων που ζητείται πριν την εγκατάσταση) π.χ. τυχόν δυνατότητα ενεργοποίησης της κάμερας για λήψη φωτογραφιών και video, ή τον πλήρη έλεγχο του επιλεγμένου αποθηκευτικού χώρου (εσωτερική μνήμη ή κάρτα SD) για τροποποίηση ή διαγραφή και ανάγνωση περιεχομένου, ή ακόμη την πλήρη πρόσβαση στο δίκτυο και τις συνδέσεις δικτύου, την ακριβή θέση του κινητού τηλεφώνου, ή την επικοινωνία χωρίς κρυπτογράφηση (!), αλλά και την αδιανόητη παραχώρηση άδειας... αναγνωριστικού διαφήμισης, από την οποία παράγονται «πλούσια» δεδομένα.

Η προσπάθεια web υλοποίησης του MyHealth στο gov.gr παραπέμπει σε... μη ασφαλή ιστοσελίδα (http -χωρίς κρυπτογράφηση), για διαχείριση ευαίσθητων προσωπικών δεδομένων!

Η υπόθεση με τα «Big Data» που συγκεντρώθηκαν τους τελευταίους μήνες από τις εφαρμογές παραπέμπει σε αντίστοιχη (στατιστική έστω) αξιοποίηση των ευαίσθητων προσωπικών δεδομένων που επεξεργάστηκε η αμφιλεγόμενη Palantir και στην Ελλάδα, με αφορμή την πανδημία (και την αντίστοιχη της Cisco από την εξ αποστάσεως εκπαίδευση των μαθητών) -συμβάσεων που ακόμη παραμένουν αδιαφανείς ως προς τον σκοπό και τα αποτελέσματα, το οικονομικό σκέλος ή τις δυνατότητες στόχευσης των χρηστών. Εδώ να θυμίσουμε ότι πέραν της εμπλοκής της αμερικανικής Palantir σε ζητήματα «κοινωνικής μηχανικής» στο Meta/Facebook στις αμερικανικές εκλογές, πρόκειται για μια εταιρεία που στην αρχική της φάση είχε συγχρηματοδοτηθεί και από τη CIA, ενώ στο πελατολόγιό της συγκαταλέγονται αμερικανικές και άλλες δυτικές μυστικές υπηρεσίες.

Follow the money

Η άδεια αναγνωριστικού διαφήμισης δίνει στον διαχειριστή των εφαρμογών τη δυνατότητα να παρακολουθεί τη δραστηριότητα του χρήστη του κινητού τηλεφώνου στο διαδίκτυο, συλλέγοντας προσωπικά δεδομένα -μερικές φορές ευαίσθητα, άλλες φορές απλώς στατιστικά- τα οποία εμφανώς αξιοποιεί, αφού ζητά τη σχετική άδεια κατά τη διάρκεια της εγκατάστασης. Πίο πρακτικοί άνθρωποι οι διαφημιστές, προτιμούν τον όρο «monetize» (νομισματοποίηση) -και δεν αναφερόμαστε μόνο σε αδιαφανή έσοδα, αλλά και στην κάθε είδους αξιοποίηση «Big Data» στην Οικονομία, την Κοινωνία και την Πολιτική.

Αποτυπώνοντας την αξία των προσωπικών δεδομένων κάθε χρήστη π.χ. στα 30 ευρώ (δεδομένα αγοράς), σε μερικά εκατομμύρια εγκαταστάσεις αυτών των εφαρμογών η αξία που δημιουργείται (δυνητικά πάνω από 90-100 εκατ. ευρώ ετησίως) είναι... ενδιαφέρουσα, καθώς δεν έχουμε αντιληφθεί να έχει αποτυπωθεί λογιστικά, ούτε να συνάδει προς τον δημοσιευμένο σκοπό δημιουργίας αυτών των εφαρμογών.

Οπως σημειώνει η Google στον αναλυτικό οδηγό της, «το αναγνωριστικό διαφήμισης είναι ένα μοναδικό αναγνωριστικό για διαφημίσεις, το οποίο παρέχεται από τις υπηρεσίες Google Play (και τις αντίστοιχες στο AppStore της Apple). Προσφέρει στους χρήστες καλύτερα στοιχεία ελέγχου και παρέχει στους προγραμματιστές ένα απλό, τυποποιημένο σύστημα για να συνεχίσουν να δημιουργούν έσοδα από τις εφαρμογές τους». Η Google φυσικά επιτρέπει στους χρήστες να επαναφέρουν το αναγνωριστικό τους ή να εξαιρεθούν από την προβολή εξατομικευμένων διαφημίσεων (παλαιότερα γνωστές ως «διαφημίσεις βάσει ενδιαφέροντος») και αποσυνδέει μερικώς τον χρήστη, τα στοιχεία όμως εξακολουθούν να συγκεντρώνονται και παραμένουν στατιστικώς σημαντικά.

Είναι προφανές ότι κάποιες από αυτές τις εφαρμογές, όπως π.χ. αυτή με τις... λιγότερες εγκαταστάσεις (MyHealth) μπορεί να παρέχουν εξαιρετική πληροφόρηση στους πιο ευάλωτους συμπολίτες μας, όμως είναι αδιανόητο να φορτώνονται με δυνατότητες που εύκολα μπορεί να «παρεξηγηθούν». Καθώς περνάμε σε ένα στάδιο ωρίμανσης της ψηφιακής γραφειοκρατίας, τέτοιες προσχεδιασμένες «τρύπες» ασφαλείας σε τόσα μαζικά application-εφαρμογές είναι απαράδεκτες και προβληματικές για τον εμπνευστή τους.

Συγκατάθεση

Το υπουργείο Ψηφιακής Διακυβέρνησης δηλώνει ότι δεν διαβιβάζει δεδομένα προσωπικού χαρακτήρα των χρηστών σε τρίτη χώρα ή διεθνή οργανισμό (βλ. Πολιτική Προστασίας Προσωπικών Δεδομένων) -πάντως, νομικοί με τους οποίους μιλήσαμε θεωρούν ότι πρέπει να συμπληρωθεί αυτή η δήλωση, για φυσικά πρόσωπα ή εταιρείες.

Στη σύμβαση συναίνεσης (End User License Agreement-EULA) που απαιτούν οι εφαρμογές για να εγκατασταθούν και να λειτουργήσουν, ο κατασκευαστής δίνει τα πλήρη στοιχεία του Υπεύθυνου Επεξεργασίας, τους σκοπούς επεξεργασίας και τη σχετική νομική βάση. Ετσι, ο κάτοχος του τηλεφώνου έχει δικαίωμα εναντίωσης στην επεξεργασία των δεδομένων, ανακαλώντας τη συγκατάθεσή του στην εγκατάσταση, χωρίς η ανάκληση αυτή να επηρεάζει τη νομιμότητα της επεξεργασίας για το χρονικό διάστημα που μεσολάβησε προ της ανάκλησης της συγκατάθεσης - σε απλά ελληνικά, εκτός από την έγγραφη ανάκληση, πρέπει να απεγκαταστήσει την εφαρμογή.

[............................................]  

Θηρευτές προσωπικών δεδομένων οι εφαρμογές του GOV.GR για  κινητά

Δεν υπάρχουν σχόλια: