Nossa análise de privacidade de 10 aplicativos de tratamento e recuperação para dependentes de opióides

Como parte de sua orientação de distanciamento social, recomendando que as unidades de saúde e prestadores de serviços de saúde ofereçam serviços clínicos por meios virtuais.

Essa maior adoção de serviços de telessaúde traz consigo novos e sem precedentes desafios de privacidade e segurança . Em particular, os registros de pacientes para tratamento e recuperação de dependências são extremamente confidenciais. Milhões de americanos são afetados pelo vício, causando um grande impacto nas comunidades nos Estados Unidos nas últimas duas décadas. À medida que a crise dos opióides continua, as pessoas que buscam tratamento para o vício serão cada vez mais atraídas pelas soluções de telessaúde fornecidas por seus smartphones.

Com isso em mente, nossa equipe no Avance Network é Avance Lab decidiu identificar problemas de privacidade e segurança que afetam as soluções de telessaúde para o tratamento e recuperação da dependência de opiáceos. Fizemos uma parceria com o Opioid Policy Institute (OPI) e a Defensive Lab Agency. Além disso, envolvemos pesquisadores da Yale University e do Legal Action Center (LAC) para receber seus comentários e sugestões. Todos os colaboradores concordam que as descobertas incluem sinais preocupantes e evidentes de privacidade e, potencialmente, problemas de segurança.

Os aplicativos que estudamos têm um amplo alcance, cobertura em todos os 50 estados e mais de 300 milhões de dólares em financiamento de grupos de investimento e do governo federal. Em alguns casos, esses aplicativos representam redes sociais crescentes e influentes. O Loosid afirma mais de 100.000 usuários e 1,4 milhão de "interações de namoro" e é comercializado como "o aplicativo de sobriedade e recuperação mais popular do mundo", enquanto o Sober Grid é denominado "a comunidade sóbria móvel mais popular do mundo".

Acesso a identificadores exclusivos em aplicativos de telessaúde

Talvez a revelação mais alarmante de nosso estudo de dez aplicativos de tratamento e recuperação para dependência de opióides seja o acesso consistente a identificadores exclusivos. Eles variam de IDs definidos por software até aqueles que estão fortemente vinculados ao hardware do smartphone e à conta do consumidor com um provedor de celular. Por exemplo:

7 em cada 10 aplicativos acessam o ID de publicidade.

5 aplicativos acessam o número do telefone.

8 aplicativos acessam outras informações de telefonia, como o nome da operadora.

3 aplicativos acessam o IMEI e IMSI do provedor de celular.

1 aplicativo acessa o número de série do cartão SIM do celular.

3 aplicativos acessam as informações de rede / endereço IP.

1 aplicativo acessa o endereço de hardware / endereço MAC.

Por que essas informações são coletadas para o tratamento e recuperação da dependência é incerto, mas certamente deve ser considerado sensível nesse contexto. Outros dados de smartphones coletados por muitos desses aplicativos oferecem oportunidades para identificação e vigilância. Isso inclui registros de atividade do dispositivo, a lista de outros aplicativos instalados no dispositivo e dados de localização aproximados e finos.

Como o Avance Lab revelou em Investigation X, alguns kits de desenvolvimento de software (SDKs) são projetados especificamente para rastrear dados de localização. Em nosso estudo atual, também descobrimos uma alta prevalência de SDKs de rastreadores. Embora suas abordagens de coleta e processamento de dados variem, muitos têm a capacidade de ingerir dados de localização e correlacioná-los com outras informações de sensores de smartphones.

Embora alguns dos aplicativos de recuperação e tratamento de dependência de opióides que analisamos não exigissem entrada detalhada do sensor, como o PursueCare, outros solicitaram permissão para dados detalhados do sensor. Por exemplo, 7 entre 10 aplicativos que estudamos solicitam permissão para fazer conexões Bluetooth e 7 entre 10 aplicativos também acessam dados de localização, se disponíveis. Correlacionadas com dados de outros smartphones e hardware IoT, como dispositivos beacon, alto-falantes inteligentes e até mesmo as calçadas em cidades inteligentes, essas informações podem ser utilizadas para compilar perfis de dados de uma pessoa individual.

Melhor privacidade para uma ferramenta valiosa

Embora cada aplicativo possa diferir em sua implementação, a grande quantidade de dados disponíveis para a maioria dos aplicativos que estudamos levanta questões sobre as práticas de privacidade e segurança dos aplicativos de telessaúde.

Dito isso, queremos enfatizar o papel central que os aplicativos de tratamento e recuperação da dependência podem desempenhar na vida das pessoas com dependência de opioides. A disponibilidade de telessaúde é talvez mais presciente do que nunca, e as instalações tradicionais de tratamento de vícios enfrentam crises orçamentárias sem precedentes e fechamentos relacionados à Covid-19.

Por esse motivo, é fundamental que as críticas aos aplicativos de telessaúde não sejam mal interpretadas como chamadas para sua remoção da distribuição ou proibição de seu uso. Em vez disso, desejamos enfatizar a importância da privacidade do paciente e do usuário final, iluminando as preocupações crescentes e prescientes no domínio do tratamento de telessaúde.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.