Ten artykuł został zaktualizowany w celu wyjaśnienia, że Google Messages przesyła częściowy hash SHA256, co umożliwia określenie treści wiadomości tylko w przypadku SMS-ów.
Co musisz wiedzieć
- Nowe badanie wykazało, że aplikacje do obsługi wiadomości i telefonu po cichu wysyłają wiadomości tekstowe i informacje o połączeniach do Google.
- Obie aplikacje komunikacyjne nie uzyskały zgody użytkownika i nie oferowały użytkownikom możliwości rezygnacji, co mogłoby stanowić naruszenie unijnego ogólnego rozporządzenia o ochronie danych (RODO).
- Nowe odkrycia ujawnił profesor informatyki z Trinity College Dublin.
W czym może być inny przypadek? Naruszenie prywatności danychaplikacje Google Messages i Phone potajemnie wysyłały wiadomości tekstowe i rejestry połączeń na swoje serwery.
Według artykułu badawczego opublikowanego przez Douglasa Leitha, profesora informatyki w Trinity College w Dublinie, aplikacje Google do przesyłania wiadomości i komunikacji zbierały dane o komunikacji użytkowników bez wcześniejszego ostrzegania (za pośrednictwem nagrywać). W efekcie pozbawiło to użytkowników możliwości rezygnacji z gromadzenia danych.
Artykuł stwierdza, że „dane przesyłane przez Google Messages zawierają skrót treści wiadomości, który umożliwia łączenie nadawcy i odbiorcy w ramach wymiany wiadomości”. „Dane wysyłane przez Google Dialer obejmują godzinę i czas trwania połączenia, co ponownie umożliwia połączenie dwóch telefonów biorących udział w rozmowie telefonicznej”.
Należy zauważyć, że wiadomości wysyłają tylko 128-bitową wartość skrótu wiadomości do serwera Google. Jednak Leith uważa, że chociaż hash jest trudny do odwrócenia, niektóre treści nadal można zidentyfikować w przypadku SMS-ów.
„Koledzy powiedzieli mi, że tak, w zasadzie, prawdopodobnie jest to możliwe” – powiedział Leith The Register. „Hash zawiera znacznik godzinowy, więc wiązałoby się to z utworzeniem skrótu wszystkich docelowych grup znaczników czasu i wiadomości oraz porównaniem go z zaobserwowanym hashem w celu dopasowania – co jest wykonalne w przypadku SMS-ów, biorąc pod uwagę moc nowoczesnych komputerów”.
W ramach procesu zbierane były również numery telefonów oraz dzienniki połączeń przychodzących i wychodzących. Informacje te są następnie przesyłane na serwery Google za pośrednictwem usługi Clearcut Recorder dla Usług Google Play i usługi Firebase Analytics.
Według gazety aplikacja Google nie ma polityki prywatności wyjaśniającej gromadzone przez nią dane. Jak na ironię, jest to ścisły wymóg dla aplikacji innych firm w Sklepie Play.
Aby być uczciwym, Usługi Google Play wyjaśniają użytkownikom, że zbierają określone dane w celach bezpieczeństwa i zapobiegania oszustwom. Jednak w dużej mierze nie jest jasne, dlaczego gromadzenie danych obejmuje treść wiadomości i dzienników połączeń.
dużo Najlepsze telefony z Androidemwłącznie z Samsung Galaxy S22 Series i Google Pixel, jest fabrycznie wyposażony w aplikację Google Messages. Tymczasem aplikacja na telefon jest domyślną aplikacją do wybierania numerów w wielu modelach chińskich marek, takich jak Xiaomi i Realme.
Oznacza to, że obie aplikacje są zainstalowane na milionach urządzeń sprzedawanych na całym świecie. Biorąc pod uwagę sam rozmiar ich zasięgu, ostatnie wyniki powinny stanowić poważny problem dla prywatności osób korzystających z tych aplikacji.
Leith dała Google listę zaleceń dotyczących zmian, w tym dodanie polityk prywatności aplikacji do obu aplikacji, które jasno wyjaśniają, jakie dane są gromadzone i dlaczego.
Do tej pory Google wdrożyło sześć z dziewięciu zaleceń Leitha. Obejmuje to dodanie linku do polityki prywatności Google dla konsumentów. Ale jest jeszcze wiele do zrobienia.