Un estudi europeu detecta greus problemes de seguretat després d’analitzar en profunditat les vint app Android de salut més populars

El 80% de les aplicacions de salut més populars disponibles per a Android no compleixen amb molts dels estàndards destinats a evitar l’ús i la divulgació de dades sensibles dels usuaris. Així ho demostra un estudi europeu, iniciat el 2016, en què ha participat Agustí Solanas, cap del Grup de Recerca en Salut Smart, del Departament d’Enginyeria Informàtica i Matemàtiques de la URV, juntament amb investigadors de la Universitat del Pireu (Grècia) liderats pel Constantinos Patsakis. La recerca ha posat en evidència greus problemes de seguretat en aquestes aplicacions, les vint més populars de la xarxa. El treball ha consistit a analitzar-les i posar en coneixement dels desenvolupadors els problemes de seguretat detectats, i comprovar posteriorment si s’havien resolt.

Les aplicacions seleccionades pels investigadors tenien de 100.000 a 10 milions de descàrregues cadascuna i una qualificació mínima de 3,5/5. Per analitzar-ne el funcionament, els investigadors interceptaven, emmagatzemaven i monitoraven les dades privades dels usuaris, com problemes de salut, malalties o agendes mèdiques. Els investigadors van analitzar les comunicacions de les aplicacions, com emmagatzemaven la informació o quins permisos requerien per poder funcionar, així com la manera en què s’administraven les dades. Els resultats van demostrar l’existència de greus problemes de seguretat en la gestió de les dades dels usuaris.

Només un 20% de les aplicacions emmagatzemava les dades als telèfons intel·ligents dels usuaris, i una de cada dues sol·licitava i administrava les contrasenyes d’inici de sessió sense utilitzar una connexió segura. Els investigadors també van detectar que un 50% de les aplicacions compartia amb tercers dades personals, tant de text com multimèdia, com imatges de raigs X, per exemple. Una altra dada: més de la meitat van transmetre dades de salut dels usuaris a través d’enllaços HTTP, la qual cosa comporta que qualsevol persona que hi tingui accés pugui disposar d’aquestes dades.

De les aplicacions sotmeses a estudi, un 20% no transmetia a l’usuari cap política de privacitat o el contingut no estava disponible en anglès, l’idioma de l’aplicació. D’altres demanaven accés a la geolocalització, micròfons, càmera, llista de contactes, targeta d’emmagatzematge extern o Bluetooth dels usuaris, tot i que el bon funcionament de l’aplicació no depenia de l’accés a aquestes dades.

Informació a les empreses

Un cop finalitzada l’anàlisi, els investigadors van posar en coneixement de les empreses desenvolupadores de les aplicacions tots els problemes de seguretat detectats. Passat un temps, van tornar a avaluar-les amb els mateixos paràmetres que a l’estudi inicial. Tot i detectar que algunes de les mancances s’havien resolt —com transferències de dades de salut insegures o la possibilitat d’identificar els usuaris a causa de transferències de dades insegures a tercers—, altres problemes, com les filtracions de dades d’ús de l’aplicació, no s’havien corregit.

Aquest treball ha estat parcialment finançat pel projecte europeu OPERANDO (del programa H2020) i també ha rebut finançament del programa COST (Cooperació en Ciència i Tecnologia), a través de l’Acció Cryptacus.

Referència bibliogràfica: “Security and Privacy Analysis of Mobile Health Applications: The Alarming State of Practice”. A. Papageorgiou, M. Strigkos, E. Politou, E. Alepis, A. Solanas, C. Patsakis.  IEEE Explore. DOI: 10.1109/ACCESS.2018.2799522