ما يقرب من 88 % من عدد 21000 تطبيق صحة للأجهزة المحمولة (mHealth) يمكن الوصول إليها من متجر “جوجل بلاي” من أستراليا تحتوي على رمزًا يمكنه الوصول إلى بيانات المستخدمين الشخصية ومشاركتها مع أطراف ثالثة، وهو تحليل أجراه Optus Macquarie University Cyber Security Hub في سيدني.

شمل التقرير البحثي – التي أُطلق عليها اسم “الصحة والخصوصية على الأجهزة المحمولة: دراسة مقطعية ونشرتها المجلة الطبية البريطانية – بالبحث في 8000 تطبيق مصنّف على أنه” طبي “و13000 تطبيق يقع في فئة” الصحة واللياقة البدنية “. هذه تقريبًا جميع تطبيقات الصحة المحمولة التي يمكن الوصول إليها في متجر “جوجل بلاي” من أستراليا. بشكل عام، ينتمي ما يقرب من 100000 تطبيق عبر كل من “جوجل بلاي” و”ابل ستور” إلى الفئتين.

كجزء من بحثهم، أجرى العلماء تحليلًا متعمقًا لما يقرب من 16000 تطبيق mHealth مجاني موجود في سوق تطبيقات جوجل وقارنوا ممارسات الخصوصية الخاصة بهم بعينة أساسية لما يقرب من 8500 تطبيق بخلاف تطبيقات الصحة المحمولة.

ماذا وجد البحث؟

كشفت الدراسة أن: “تشمل الأنواع الرئيسية للبيانات التي تجمعها تطبيقات الصحة المحمولة معلومات الاتصال وموقع المستخدم والعديد من معرفات الأجهزة. جزء من هذه المعرفات (على وجه التحديد، الهوية الدولية للأجهزة المحمولة (IMEI)، معرف فريد يستخدم لبصمات الهواتف المحمولة؛ التحكم في الوصول إلى الوسائط (MAC)، معرف فريد لواجهة الشبكة في جهاز المستخدم؛ وهوية المشترك المحمول الدولي (IMSI)، الرقم الفريد الذي يحدد بشكل فريد كل مستخدم لشبكة خلوية) ويمكن أن تستخدمه جهات خارجية لتتبع المستخدمين عبر الشبكات والتطبيقات “..

قام اثنان من كل ثلاث تطبيقات بجمع معرّفات MAC وملفات تعريف الارتباط، وجمع ثالث عناوين البريد الإلكتروني للمستخدمين ويمكن لنحو ربع التطبيقات تخمين الموقع الحالي للمستخدم بناءً على برج الهاتف المحمول الذي كانوا متصلين به.

وبالمقارنة بأنواع التطبيقات الأخرى، قامت تطبيقات الصحة المحمولة بجمع ونقل بيانات أقل للمستخدم وأظهرت تغلغلًا أقل لخدمات الجهات الخارجية. تم تسجيل نقل البيانات في حوالي 4٪ فقط من تطبيقات الصحة المحمولة المختبرة، مع أكثر أنواع البيانات شيوعًا التي يتم إرسالها والتي تشمل أسماء المستخدمين ومواقعهم.

في حين خلصت الدراسة إلى أن كيفية استرداد تطبيقات الصحة المحمولة لبيانات المستخدم ومشاركتها يمكن اعتباره أمرًا روتينيًا، إلا أن الكشف عن هذه الممارسات لم يكن شفافًا على الإطلاق. تمت ملاحظة ما يقرب من ربع عمليات نقل بيانات المستخدم، وخاصة البيانات المتعلقة بكلمات المرور وبيانات الموقع، عبر اتصال HTTP غير آمنة وغير مشفرة. ما يقرب من ثلث تطبيقات الصحة المحمولة لم تقدم أي نوع من سياسة الخصوصية التي توضح بالتفصيل كيفية التعامل مع البيانات.

وفي الوقت نفسه، وجد أن ربع آخر من التطبيقات التي تم تحليلها تنتهك بطريقة واضحة سياسات الخصوصية الخاصة بها. قد يتسبب ذلك في حدوث مشكلات للشركات التي قد تخرق لوائح الخصوصية مثل اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي، والتي تتطلب إبلاغ المستخدمين بوضوح بكيفية التعامل مع بياناتهم.

واختتم التقرير بذكر: “أصبحت تطبيقات الأجهزة المحمولة مصادر للمعلومات بشكل كبير وأدوات دعم القرار لكل من الأطباء والمرضى. يجب توضيح مخاطر الخصوصية هذه للمرضى ويمكن أن تكون جزءًا من الموافقة على استخدام التطبيق. نعتقد أن المفاضلة بين فوائد ومخاطر تطبيقات الصحة المحمولة يجب أن تؤخذ في الاعتبار لأي مناقشة تقنية وسياسية تتعلق بالخدمات التي تقدمها هذه التطبيقات “.

تتطلب تطبيقات الجوال الوصول إلى بعض بياناتك أو ميزات هاتفك، وعادةً ما تكون جهات الاتصال أو الموقع أو الميكروفون أو الكاميرا. ومع ذلك، في كثير من الحالات، تفرغ التطبيقات كميات هائلة من المعلومات الشخصية وتطلب أذونات لا يحتاجونها حقًا لوظيفة أو أخرى. وشدد مبعوث شركة “إسيت” للأمن السيبراني “توني أنسكومبي”, مؤخرًا في سبب ضرورة توخي الحذر بشأن أنواع الأذونات التي تمنحها لتطبيقات الأجهزة المحمولة وعندما تكون الطلبات مفرطة عن المعتاد.