Daghemsappar är designade för att göra vardagen på daghem enklare. Föräldrar kan använda dem för att till exempel få tillgång till rapporter om sina barns utveckling och för att kommunicera med lärare. Vissa av dessa applikationer har dock allvarliga säkerhetsbrister. Detta är slutsatsen av forskare från Ruhr-Universität Bochum (RUB), Westfälische Hochschule och Max Planck Institute for Security and Privacy i Bochum, i samarbete med en industripartner. De analyserade 42 dagisappar från Europa och USA med avseende på säkerhet och integritet. I vissa appar kunde de komma åt privata bilder på barnen; flera appar fick tillgång till användarnas personuppgifter utan samtycke och delade dem med tredje part.

Teamet som leds av Dr. Matteo Große-Kampmann, som tog sin doktorsexamen. vid Horst Görtz Institute for IT Security vid RUB, och Dr Maximilian Golla från Max Planck Institute for Security and Privacy kommer att presentera sina resultat i juli 2022 i Sydney vid "22nd Privacy Enhancing Technologies Symposium". Dessförinnan har resultaten publicerats online.

"Enligt European General Data Protection Regulation och US Children's Online Privacy Protection Act är barns data föremål för särskilt skydd", säger Maximilian Golla. "Tyvärr upptäckte vi att många appar inte kan garantera detta skydd."

Analyserna utfördes i samarbete med AWARE7 GmbH. Teamet kontaktade alla apptillverkare innan publiceringen och gjorde dem medvetna om sårbarheterna.

Används av miljoner

För studien analyserade forskarna Android daghemsappar som de hittade i Google Play Butik och som erbjuder åtminstone följande funktioner:både barnens utveckling och eventuella speciella aktiviteter kan spelas in i appen i form av anteckningar, bilder och videor; appen har en budbärarfunktion genom vilken dagispersonalen kan kommunicera med föräldrarna; appen stödjer daghemsledningen i administrativa processer som fakturering, skapande av scheman och organisera grupper. De mest använda apparna "Bloomz" och "brightwheel" har laddats ner mer än en miljon gånger från Google Play Store. Sammantaget nådde alla appar cirka tre miljoner nedladdningar.

I vissa fall säljs personuppgifter

Av de analyserade apparna hade åtta allvarliga säkerhetsproblem som till exempel skulle göra det möjligt för angripare att se barnens privata bilder. I 40 appar fann forskarna att de övervakar föräldrar och pedagoger:de samlar in användarens telefonnummer och e-postadress samt information om enheten och användningen av appen, till exempel när en knapp klickades. Tillverkarna delar och säljer denna och annan information till tredjepartsleverantörer. En apputvecklare skriver:"... dela data med partners för affärsändamål, såsom det genomsnittliga antalet blöjbyten per dag...". Ofta delas data med Amazon, Facebook, Google eller Microsoft för riktade reklamkampanjer.

Otillräckliga sekretesspolicyer

"Vi tittade också på leverantörernas integritetspolicy", påpekar Maximilian Golla. "Och en skrämmande bild dök upp. Många av policyerna nämnde inte ens att de behandlar barns data, än mindre att de samlar in och säljer data, även om de är skyldiga att göra det enligt europeisk och amerikansk lag."

Men det betyder inte nödvändigtvis att leverantörerna handlar i ond tro. – Vi misstänker snarare att det handlar om tekniska och organisatoriska problem, säger Matteo Große-Kampmann. Enligt forskarna agerar vissa leverantörer försumligt eftersom den länkade integritetspolicyn inte är kompatibel, delvis för att den inte innehåller information om databehandling i appen eller om de tjänster som erbjuds och ofta inte har uppdaterats på många år.

Forskarna hoppas att deras resultat kommer att uppmärksamma denna känsliga fråga, med tanke på att barns data står på spel. "Det säger sig självt att daghemschefer, dagvårdare och föräldrar inte kan analysera varenda app själva", säger Matteo Große-Kampmann. "Men i slutändan måste de ta ansvaret för beslutet vilken app de ska använda."

Riktlinjer och checklistor

Enligt Maximilian Golla är det i princip inte en praktisk lösning att avvisa daghemsappar, särskilt eftersom det finns leverantörer utan säkerhetsproblem som följer dataskyddsbestämmelserna. "Om det inte finns någon officiell app använder föräldrar messengertjänster som WhatsApp, vilket är den sämsta av alla lösningar vad gäller integritet", påpekar han.

Enligt IT-experterna vore en bra idé att experter tar fram riktlinjer och checklistor. Till exempel skulle statliga myndigheter kunna ge rekommendationer och förmedla dem till de föreningar som driver daghemmen.