Under de senaste veckorna har jag ett par gånger skrivit om nätsäkerhet och integritet och vad man som enskild internetanvändare behöver bry sig om. Det finns ett eget ansvar för att göra sin nätvardag trygg. Frågan är hur långt det sträcker sig.
Säkerhetsföretaget Pen Test Partners publicerade nyligen en säkerhetsgranskning av fyra populära datingappar. Men det var inte en granskning som tog sikte på användarnamn, lösenord och den data som användarna matar in i sina profiler. I stället var det hur bra apparna skyddar användarnas fysiska plats, var de för tillfället befinner sig.
Inte vidare värst, visade det sig.
Apparna visar hur långt bort andra användare befinner sig. Men inte i vilken riktning. Därmed är tanken att uppgiften om avstånd ska ge en indikation om hur nära andra användare är, men inte avslöja den exakta platsen.
Men genom triangulering lyckades Pen Test Partners ändå räkna ut det. Triangulering innebär att man vet avståndet från en användare till tre andra punkter. Vet man det går det också att räkna ut var personen i fråga befinner sig. Via tjänsternas API:er, ett gränssnitt in i appen som programmerare kan använda, kunde säkerhetsexperterna lätt låtsas att de var på tre olika platser, samla in avståndsinformation till andra användare och sedan räkna ut var de befann sig.
I slutet av augusti gav jag fem råd som ger en tryggare nätvardag. Det är fem råd som ger en hyfsad basnivå, men som inte på något sätt hjälper till att hantera risker som den här.
I sin sammanfattning konstaterar Pen Test Partners att
this risk level is elevated for the LGBT+ community who may use these apps in countries with poor human rights where they may be subject to arrest and persecution.
För den genomsnittliga användaren av de aktuella tjänsterna ser det inte ut som om platsinformationen andra får är tillräcklig detaljerad för att kunna lista ut var man befinner sig. Det går heller inte att utgå från att en genomsnittlig användare är medveten om hur triangulering går till. Och även om den kunskapen skulle finnas går det inte att se att det via API:et är möjligt att göra vad Pen Test Partners gjorde.
Det är här jag börjar fundera på var gränsen för det egna ansvaret går och vad man kan förvänta sig att företaget som bygger tjänsten tänkt på. Pen Test Partners fortsätter i sin sammanfattning:
App makers must do more to prevent location leakage in their apps and properly communicate this risk to their users.
Som utvecklare, både i bemärkelsen ”enskild programmerare” och ”företag som tillhandahåller en tjänst”, behöver man tänka till ordentligt, göra en riskanalys å sina användares vägnar och se till att tjänsten blir säker utifrån deras situation.
Men tyvärr är det väl som många säkerhetsexperter jag intervjuat genom åren konstaterat: Det är inte bra säkerhetslösningar som lockar användare. Med begränsade resurser för utveckling är det lätt att valet hamnar mellan att bygga säkerhetslösningar som ingen ser eller funktioner som gör att tjänsten eller produkten sticker ut i konkurrensen.
Det finns också en parallell till många av de diskussioner som just nu pågår om föräldrars ansvar för sina barns teknikanvändning, att man behöver läsa på om hur data samlas in, används och delas. Men också här går det att fundera på hur långt det är rimligt och möjligt att sträcka ut det egna ansvaret.
För det första är många användarvillkor svårlästa, långa texter med krångliga begrepp.
För det andra är det inte ens om man läser villkoren självklart vilken information som faktiskt samlas in.
För det tredje, och kanske mest bekymmersamt, är att det är väldigt svårt att veta vilka slutsatser som är möjliga att dra utifrån den data som samlas in.
För varje app som ett barn vill börja använda, är det rimligt att föräldrarna ska ta sig igenom den här trestegsraketen? För varje ny uppkopplad pryl vi installerar i våra hem, är det rimligt att ta sig igenom den här trestegsraketen?
Jag tror att företagen som bygger lösningar så sakteliga är på väg att ge säkerheten ett större fokus, eftersom det börjar bli uppenbart hur hårt säkerhetsslarv kan slå mot verksamheten. Dessutom har lagstiftarna vaknat, med GDPR som det kanske främsta exemplet hittills för att flytta en del av ansvaret för dataanvändning från enskilda användare till företag och andra organisationer.
Men kring GDPR hör jag nu ofta en annan oro, om att den snävar in möjligheterna för mycket. Inte minst är detta resonemang som kommer från forskarhåll, där man ser stora möjligheter för exempelvis sjukvård och medicin i kombination med dataanalys. Men det är tillämpningar som kräver tillgång till data.
Det verkar inte som om vi hittat rätt balanspunkt mellan eget och andras ansvar för säkerhet och dataanvändning. Frågan är var den balanspunkten finns och om vi någonsin hittar den.
Foto: Thor Alvis.