Les app de salut posen en risc milions de dades personals, segons un estudi

Les aplicacions mòbils de salut posen en risc les dades personals de milions d'usuaris, segons un estudi europeu en el qual ha participat la Universitat Rovira i Virgili (URV) deTarragona, que ha analitzat en profunditat les 20 app Android de salut més utilitzades.

Segons l'estudi, que es va iniciar el 2016, el 80% de les aplicacions de salut més populars disponibles per a Android no compleixen molts dels estàndards destinats a evitar l'ús i la divulgació de dades sensibles dels usuaris.

A l'estudi ha participat Agustí Solanas, cap del Grup d'Investigació en Salut Smart del Departament d'Enginyeria Informàtica i Matemàtiques de la URV, juntament amb investigadors de la Universitat del Pireu (Grècia) liderats per Constantinos Patsakis.

La feina ha consistit a analitzar i posar en coneixement dels desenvolupadors els problemes de seguretat detectats, i comprovar posteriorment si s'havien resolt.

Segons ha informat la URV, les aplicacions seleccionades pels investigadors tenien de 100.000 a 10 milions de descàrregues cadascuna i per analitzar el seu funcionament, els investigadors van interceptar, van emmagatzemar i van monitorar les dades privades dels usuaris, com problemes de salut, malalties o agendes mèdiques.

Els investigadors van analitzar les comunicacions de les aplicacions, com emmagatzemaven la informació o quins permisos requerien per poder funcionar, així com la manera com s'administraven les dades.

Segons la URV, els resultats van demostrar l'existència de greus problemes de seguretat en la gestió de les dades dels usuaris.

L'estudi ha constatat que només un 20% de les aplicacions emmagatzema les dades als telèfons intel·ligents dels usuaris, i una de cada dues sol·licitava i administrava les contrasenyes d'inici de sessió sense utilitzar una connexió segura.

Els investigadors també van detectar que un 50% de les aplicacions compartia amb tercers dades personals, tant de text com multimèdia, com imatges de raigs X, per exemple, i més de la meitat van transmetre dades de salut dels usuaris a través d'enllaços HTTP, cosa que comporta, segons la URV, que qualsevol persona que hi tingui accés pugui disposar d'aquestes dades.

De les aplicacions sotmeses a estudi, un 20% no transmetia a l'usuari cap política de privacitat o el contingut no estava disponible en anglès, l'idioma de l'aplicació.

Altres demanaven accés a la geolocalització, micròfons, càmera, llista de contactes, targeta d'emmagatzematge extern o Bluetooth dels usuaris, encara que el bon funcionament de l'aplicació no depenia de l'accés a aquestes dades.

Un cop finalitzat l'anàlisi, els investigadors van posar en coneixement de les empreses desenvolupadores de les aplicacions tots els problemes de seguretat detectats i passat un temps, van tornar a avaluar-les amb els mateixos paràmetres que a l'estudi inicial.

Encara que van detectar que algunes de les carències s'havien resolt -com transferències de dades de salut insegures o la possibilitat d'identificar als usuaris a causa de transferències de dades insegures a tercers-, altres problemes, com les filtracions de dades d'ús de l'aplicació, no s'havien corregit, segons la URV.