Kvůli nastavení soukromí v telefonu aplikace přesně vědí, kde pracujete i kde spíte. Zakažte jim to

Stačí klidně jen několik týdnů nepřetržitého přístupu k poloze a vzorce vašeho života jsou v tu ránu čitelné jako jízdní řád autobusu.

Zdroj fotografie: Unsplash

Většina lidí při instalaci aplikace klepne na „Povolit“ a víckrát se k tomu nevrátí. Jenže tím jedním tlačítkem nezapínáte jeden přepínač, ale otevíráte až sedm citlivých kategorií dat, která aplikace může využívat tak dlouho, dokud oprávnění sami nezměníte. Nejde přitom o žádné hackerské triky. Jde o standardní systémové funkce Androidu a iOS, které po udělení souhlasu prostě fungují dál. A právě z těchto dat si lze postupně složit překvapivě podrobný obraz vašeho dne, kde bydlíte, kam chodíte do práce a jak se pohybujete.

Sedm oprávnění, která o vás prozradí víc, než tušíte

Náš výběr sedmi nejcitlivějších kategorií vychází z toho, co Google i Apple oficiálně řadí mezi citlivá data. Není to žádná univerzální klasifikace, ale průnik obou platforem s důrazem na oprávnění, která mají největší dopad na soukromí.

• Poloha – nejsilnější nástroj profilování. Kdo má přístup „vždy“, vidí váš pohyb prakticky nepřetržitě.
• Mikrofon – aplikace s tímto oprávněním může nahrávat zvuk. Systém to signalizuje zeleným (Android) nebo oranžovým (iPhone) indikátorem, ale kolik lidí si ho skutečně všímá?
• Kamera – podobný princip jako u mikrofonu, tentokrát pro obraz.
• Kontakty – jména, telefonní čísla a e-mailové adresy. Nejen vaše, ale i lidí, kteří s aplikací sami nikdy nepřišli do kontaktu.
• Kalendáře – schůzky, místa jednání, pracovní i soukromé události.
• SMS a hovory – primárně záležitost Androidu. Aplikace může získat přístup k obsahu zpráv nebo metadatům volání.
• Zdravotní data – kroky, tepová frekvence, spánek a další údaje. Na iPhonu přes aplikaci Zdraví, na Androidu přes Health Connect.

U každé kategorie platí totéž: jednou udělený souhlas zůstává aktivní, dokud ho ručně nezměníte. Android nabízí možnosti jako „Vždy“, „Pouze při používání aplikace“, „Pokaždé se zeptat“ nebo „Nepovolit“. iPhone funguje obdobně. Výchozí nastavení po udělení souhlasu však bývá často poměrně velkorysé.

Jak z polohy vznikne adresa vašeho bytu i kanceláře

Tady se dostáváme k jádru tvrzení, které může znít přehnaně, ale není. Americká Federální obchodní komise (FTC) v případu proti datovému brokerovi X-Mode Social uvedla, že geolokační data dokážou odhalit, kde člověk žije. Recenzovaná akademická studie publikovaná v Nature zároveň ukazuje, že z dlouhodobých údajů o pohybu lze s vysokou přesností odvodit domov i pracoviště.

Mechanismus je jednoduchý. Telefon s povolenou polohou na pozadí odesílá souřadnice i v noci. Místo, kde se pravidelně nacházíte mezi 22:00 a 6:00, je s vysokou pravděpodobností váš domov. Místo, kde trávíte pracovní dny mezi 9:00 a 17:00, bývá pracoviště. Stačí několik týdnů dat a vzorec je zřejmý.

Není potřeba mikrofon ani kamera. Stačí průběžný tok polohových údajů, který může být využíván analytickými nástroji nebo reklamními systémy.

Právě proto patří poloha nastavená na „Vždy“ mezi nejcitlivější oprávnění vůbec. Google dnes vývojářům doporučuje používat polohu na pozadí jen ve výjimečných případech a reklamní využití výrazně omezuje. Pokud jste však oprávnění udělili před lety, nemusí se vás novější pravidla automaticky dotknout.

Co s daty dělají a kdo všechno je vidí

Funkční využití oprávnění dává smysl: mapy potřebují polohu, komunikátory mikrofon a fitness aplikace zdravotní data. Problém nastává ve chvíli, kdy jsou stejná data využívána také pro analytiku, personalizaci reklamy nebo sdílena s dalšími partnery.

Apple ve své dokumentaci k App Tracking Transparency řadí mezi sledování i sdílení polohových údajů s datovými brokery nebo kombinování dat přes SDK třetích stran za účelem cílené reklamy. Google Play zase vyžaduje, aby vývojáři v sekci Data Safety uváděli, jaká data sbírají a sdílejí, včetně dat získaných prostřednictvím knihoven třetích stran.

A co mikrofon? Přestože jde o jedno z nejcitlivějších oprávnění, nepodařilo se doložit, že by plošné nahrávání konverzací pro reklamní účely bylo běžně prokázanou praxí. Riziko zneužití samozřejmě existuje, proto oba systémy přístup k mikrofonu viditelně signalizují. Hlavním nástrojem profilování však podle dostupných důkazů zůstává poloha v kombinaci s dalšími identifikátory.

Kde to v telefonu najdete a co změnit

Na Androidu: Nastavení → Aplikace → [konkrétní aplikace] → Oprávnění. Alternativně Nastavení → Zabezpečení a soukromí → Soukromí → Správce oprávnění, kde vidíte aplikace rozdělené podle typu přístupu. Privacy Dashboard navíc ukazuje, která oprávnění byla použita v posledních dnech.

Na iPhonu: Nastavení → Soukromí a zabezpečení, kde najdete jednotlivé kategorie jako Polohové služby, Kontakty, Kalendáře, Mikrofon nebo Kamera. K dispozici je také App Privacy Report, který poskytuje přehled o aktivitě aplikací.

U zdravotních dat je cesta oddělená: na Androidu přes Health Connect, na iPhonu přes aplikaci Zdraví. Apple má ve výchozím nastavení sdílení zdravotních údajů vypnuté. Android ukládá data lokálně, ale po povolení přístupu si je aplikace může uložit i mimo systémovou databázi. Odebrání oprávnění pak zabrání dalšímu přístupu, nikoliv automaticky vymaže již získaná data.

Důležité je vědět, že odebrání oprávnění zastaví další sběr dat, ale historická data uložená u provozovatele aplikace tím automaticky nezmizí. V Evropské unii máte podle GDPR právo požádat o jejich výmaz. Český Úřad pro ochranu osobních údajů připomíná, že správce má na odpověď zpravidla jeden měsíc.

Nejde o to všechno vypnout

Cílem není udělat z telefonu hloupý kus plastu. Mapám ponecháte polohu, ale třeba jen „při používání“. Komunikátoru povolíte mikrofon, ale zkontrolujete, zda ho opravdu potřebuje aplikace na počasí. Fitness aplikaci dáte přístup ke krokům, ale ne ke kontaktům.

Klíčový rozdíl je mezi oprávněním, které aplikace skutečně potřebuje ke své hlavní funkci, a oprávněním, které si jednou vyžádala a vy jste ho od té doby nezkontrolovali. Apple i Google dnes vývojáře motivují k tomu, aby nabízeli alternativy, například ruční zadání adresy místo trvalého přístupu k poloze. Konečné rozhodnutí je ale stále na uživateli.

Sedm klepnutí na „Povolit“ vás stálo pár sekund. Patnáct minut v nastavení může stačit k tomu, abyste získali zpět kontrolu nad daty, která o vás telefon sbírá každý den.