Dvojice českých úřadů (Národní úřad pro kybernetickou a informační bezpečnost, NÚKIB, a Úřad pro ochranu osobních údajů, ÚOOÚ) vydala společné prohlášení, v němž upozorňuje na podezřelé chování některých mobilních aplikací nejmenovaných e-shopů. Požadují nestandardní oprávnění v telefonu uživatele a mohou sbírat nadměrné množství dat včetně osobních údajů.
Úřady explicitně nezmiňují, které e-shopy konkrétně mají na mysli, ale dá se dovodit, že půjde mimo jiné o aplikaci čínského tržiště Temu, kterou NÚKIB označil za rizikovou už začátkem letošního roku. Tentokrát upozornění v obecnější formě směřuje přímo k uživatelům, kteří by měli sami vyhodnotit, zda po nich při instalaci daná aplikace nevyžaduje podezřele příliš mnoho oprávnění.
V tuzemsku je v tuto chvíli z oficiálních marketů mobilních platforem (Google Play na Androidu, App Store na iOS, AppGallery na Huawei) dostupných ke stažení několik desítek e-shopových aplikací. Ty obvykle požadují různý stupeň oprávnění v zařízení uživatele, z nichž část je zcela legitimní, některá se však z hlediska účelu aplikace, tzn. koupě a prodeje zboží, jeví jako zcela nadbytečná.
Podezřele nízké ceny
Například pro účely nakupování by určitě aplikace po uživateli neměla požadovat přístup k adresáři jeho kontaktům, k videím, fotografiím nebo dokumentům. Ani přístup k poloze není příliš opodstatněný, pokud aplikace například nechce doporučit nejbližší kamennou pobočku obchodu. Naopak přístup k fotoaparátu mohou některé aplikace požadovat kvůli skenování QR kódů a neměl by být rizikový.
Obava úřadů pramení z faktu, že provozovatelé daných aplikací mohou operovat z různých legislativních prostředí a v určitých případech mohou být požadavky státu ve vztahu k provozovatelům z pohledu české a evropské legislativy nestandardní (např. z důvodu povinnosti provozovatele spolupracovat se zpravodajskými službami dané země). Nelze vyloučit, že pokud aplikace sbírá citlivá a osobní data, mohou být předávána třetím stranám k účelům zcela nesouvisejícím s původním účelem aplikace. Zde úřady opět nepřímo narážejí na Čínu a její velké nákupní platformy.
Podezřelý obchod lze rozpoznat nejen podle množství údajů, které jeho aplikace požaduje, ale i z jiného nestandardního „chování“. Může jít například o gamifikaci nákupů nebo prodej padělků. Také mimořádně nízké ceny (proti jiným e-shopům se stejným nebo srovnatelným zbožím) jsou podezřelým jevem. V takovém případě lze předpokládat, že e-shop za služby a produkty získává skutečnou protihodnotu jiným způsobem (např. nadměrným sběrem osobních údajů za účelem jejich předání třetím stranám za úplatu).
Doporučení pro uživatele aplikací:
1. Obezřetnost při udělování oprávnění aplikacím
- Některé požadují taková oprávnění, jež nemusí být potřebná pro jejich správné fungování (např. přístup k poloze, kontaktům, videím nebo jiným souborům).
2. Prostudování informace o zpracování osobních údajů
- Pokud není informace snadno dostupná nebo neexistuje, nejedná se o důvěryhodný internetový obchod. Důležitá je zejména přiměřenost rozsahu zpracování osobních údajů, doba uložení osobních údajů, popis práv subjektu, uvedení jména společnosti, která na území EU řeší pro subjekt mimo EU zpracování osobních údajů
3. Při pochybnostech o e-shopu neudělit aplikaci oprávnění
- E-shopové aplikace, s nimiž jsou spojena uvedená rizika, neinstalujte do zařízení, v nichž pracujete s citlivými údaji prostřednictvím například internetového bankovnictví nebo systémů státní správy. Pokud e-shopovou aplikaci, s níž mohou být spojena výše uvedená rizika, přesto chcete využít například pro jednorázový nákup, tak ji po použití odinstalujte ze svého zařízení, pokud ji dále nehodláte používat.
Zdroj: NÚKIB