Fotot: www.flickr.com

Ulovlig overvåkning er ikke lenger forbeholdt PST. Visste du at ved å bruke mobilbank via smarttelefon gir du banken din tilgang til å snoke i privatlivet ditt?

Hva vet telefonen din om deg?

De fleste av oss som har smarttelefoner lagrer, bevisst eller ubevisst, enorme mengder informasjon om oss selv på telefonene. Ikke nok med at telefonen vet hvem vi har ringt og sendt meldinger med, GPSen gjør også at telefonen vet hvor vi har vært til enhver tid. De fleste har kanskje også innlogging til e-post, Facebook, Twitter og andre tjenester på mobilen. I den grad programmene, eller appene, man bruker på telefonen får tilgang til funksjoner som de egentlig ikke trenger, byr dette på en enorm personvernutfordring.

Det er kanskje å forvente at useriøse utviklere som står bak enkle spill og lignende forsøker seg på å få tak i sensitiv informasjon. Men når det gjelder de største norske bankene, skulle man kunne forvente en viss respekt for og bevissthet om personvern. For mange er tross alt mobilbanken et helt nødvendig hjelpemiddel, spesielt sett i lys av alle problemene man har hatt med BankID  det siste året, hvor det til tider har vært nærmest umulig å logge inn, spesielt via Mac. Men etter å ha gjennomgått de store bankenes mobilapper for Android,[i] er det klart at ting ikke er helt som de burde være.[ii]

For å kunne levere en mobilbankløsning som fungerer, trenger appen kun en tillatelse: tilgang til å bruke internett. Likevel ber åtte av de mest brukte bankene til sammen om 15 andre tillatelser. Noen av dem virker relativt uskyldige, som DnBs krav om å få teste beskyttet lagring for en fremtidig versjon av appen, mens andre er langt mer sensitive. Det er normalt sett ikke mulig å installere appene uten å gi disse tillatelsene. Dermed vil nok de fleste av oss bare trykke «installer» og «godta» uten å gå konsekvensene nærmere etter i sømmene.

Hvilken informasjon vil bankene ha om deg?

Av unødvendige tillatelser bankene krever, er Storebrand den banken som i høyest grad respekterer ditt privatliv, mens DnB helt klart er verstingen. Så hva slags ting er det bankene vil vite om deg?

Kamera: Hvis du har DnB, Fokus eller Gjensidige vil banken ha tilgang til å bruke kameraet på telefonen din. Det vil si at de kan ta bilder og video av både deg og omgivelsene dine «når som helst, og uten bekreftelse fra deg.»[iii] For å gjøre en sammenligning de fleste kan forstå, også uten teknisk kunnskap: ville du tillatt banken din å installere et kamera i stuen din?

Lokalisering: Nordea, DnB, Fokus og Gjensidige[iv] vil i tillegg ha «tillatelse til å se den nøyaktige posisjonen din» til enhver tid gjennom tilgang til GPS-data. Disse bankene har altså gjort telefonen din til en personlig sporingsbrikke gjennom appen sin. Da du signerte kontrakten med banken, ville du takket ja til at banken din opererte inn en sporingschip på deg?

Ringe: Har du DnB, Fokus eller Skandiabanken vil disse kunne ringe ut med telefonen din «uten bekreftelse fra deg,» også til betalingsnummer. I teorien vil de kunne bruke telefonen din til å ringe til seg selv, og dermed bruke mikrofonen til å avlytte hva som skjer i nærheten av telefonen din uten at du vet det. Ville du gått med på at banken din utstyrte deg med en permanent skjult mikrofon?

Anropslogg og SMS: Har du Nordea, Sparebank1 eller Gjensidige, vil banken din kunne se hvem du har snakket med på telefonen, når, hvor ofte og hvor lenge. Gjensidige vil også kunne endre anropsloggen din, for eksempel ved å få det til å se ut som du har hatt telefonsamtaler du ikke har hatt. Skandiabanken på sin side krever tilgang til å «lese tekstmeldinger lagret på enheten eller SIM-kortet ditt.» Hvis du ble spurt først, ville du latt en bankansatt se alle dine SMS og MMS?

Kontakter: Nordea, DnB, Sparebank1 og Gjensidige vil kunne «lese data om kontaktene lagret på enheten.» Hvis du har en Androidtelefon med en Gmailadresse tilknyttet, inkluderer dette også alle kontakter du noen gang har vekslet en e-post med. Gjensidige vil i tillegg kunne endre dine kontakter, for eksempel ved å slette, legge til eller redigere eksisterende kontakter. Hvis banken din spurte om å få kopiere innholdet i almanakken din, ville du gått med på det?

Dette er kun noen av de mest graverende tillatelsene mobilbankappene krever for å kunne installeres. For øvrig er ikke dette en trend som er forbeholdt mobilbank-apper. Mange apper ber om tillatelser de åpenbart ikke har bruk for til sine uttalte formål, men standarden for hva man kan forvente, burde være høyere for banker som de fleste oppfatter som seriøse bedrifter og som burde ha lang erfaring med å behandle personopplysninger.

Si nei til privatisert overvåkning

Er det så sannsynlig at bankene bruker disse tillatelsene på noe vis? Noen av dem gjør det nok, andre ikke. Men som forbruker er det svært vanskelig å stole på noen som har så omfattende muligheter til å rote rundt i privatlivet. I noen grad skyldes nok disse overtrampene en umodenhet blant utviklere på markedet. De som utvikler apper har lite innsikt i personvern, mens de som har innsikt i personvern har lite forståelse for hvordan teknologien fungerer.

Det begynner allikevel å bli på høy tid at noe gjøres med problemet. Det er over to år siden Datatilsynet først uttrykte bekymring for hva apper registrerer. Det å registrere personopplysninger uten å ha innhentet informert samtykke først er ulovlig. Det å skaffe seg tilgang til å hente ut opplysninger etter eget forgodtbefinnende, burde ikke på noen måte være akseptabel oppførsel fra seriøse bedrifter som de ovennevnte bankene. Teknologiske framskritt er bra, men det er ingenting som tilsier at det skal nødvendiggjøre en fullstendig oppløsning av personlige rettigheter.

Som forbruker har du rett til å kreve å få utlevert alle opplysninger et firma sitter på om deg. Du har også rett til å kreve å få opplysningene korrigert eller slettet. Dersom et firma samler inn informasjon om deg uten ditt samtykke, kan du klage dem inn til Datatilsynet. Jeg vil oppfordre alle til å bruke disse mulighetene. Kun årvåkne borgere kan forhindre snikinnføringen av et orwelliansk samfunn.

Følgende apper er undersøkt for artikkelen. All informasjon om tillatelsene de krever finnes på appens side i Google Play.

Nordea

DnB

Fokus/Danske Bank

Sparebank1

Storebrand

Gjensidige

Gjensidige Bank

Skandiabanken

——————————————————————————————————–

[i] Android er Googles operativsystem som brukes på blant annet HTC, Samsung, LG, Sony og Huaweitelefoner.

[ii] Selv om Apple ikke publiserer hvilke tillatelser som kreves for appene i iPhone, burde iPhonebrukere gå ut i fra at det er de samme tillatelsene som gjelder.

[iii] Alle sitater er fra appenes oversikt over tillatelser, og finnes på play.google.com.

[iv] Dersom du har Gjensidige: Appen «Gjensidige» ber om svært mange tillatelser, mens appen «Gjensidige Bank» respekterer personvernet i langt større grad.

Tori Aarseth er utdannet statsviter ved Det amerikanske universitetet i
Kairo, hvor hun fikk oppleve opprøret i 2011 på nært hold. Interessefelt er Midtøsten,
overvåkning og datasikkerhet, politisk økonomi og aktivisme.