Ten artykuł został zaktualizowany w celu wyjaśnienia, że Google Messages przesyła częściowy skrót SHA256, co umożliwia określenie treści wiadomości tylko dla krótkich tekstów.
co musisz wiedzieć
- Nowe badanie wykazało, że aplikacje Wiadomości i Telefon po cichu wysyłają informacje o SMS-ach i połączeniach do Google.
- Obie aplikacje komunikacyjne nie zbierają zgody użytkownika ani nie oferują użytkownikom opcji rezygnacji, co potencjalnie narusza unijne RODO.
- Nowe odkrycia zostały ujawnione przez profesora informatyki z Trinity College Dublin.
W czym może być jeszcze jeden przypadek? naruszenie danychOdkryto, że aplikacje Google do przesyłania wiadomości i telefonów potajemnie wysyłają wiadomości tekstowe i dzienniki połączeń na swoje serwery.
Według artykułu badawczego opublikowanego przez Douglasa Leitha, profesora informatyki w Trinity College w Dublinie, aplikacje Google do przesyłania wiadomości i dialerów zbierały dane komunikacyjne użytkowników bez wcześniejszego ostrzeżenia (za pośrednictwem Rejestr). Pozbawiło to użytkowników możliwości sprzeciwienia się gromadzeniu danych.
„Dane wysyłane przez Google Messages zawierają skrót treści wiadomości, który umożliwia połączenie nadawcy i odbiorcy w ramach wymiany wiadomości” – czytamy w gazecie. „Dane wysyłane przez Google Dialer obejmują czas i czas trwania połączenia, co z kolei umożliwia połączenie dwóch słuchawek biorących udział w rozmowie telefonicznej”.
Należy zauważyć, że Messages wysyła tylko 128-bitową wartość skrótu wiadomości do serwera Google. Jednak Leith uważa, że chociaż skróty są trudne do cofnięcia, nadal istnieje pewna część treści, którą można określić w krótkich wiadomościach.
„Powiedzieli mi koledzy, że w zasadzie jest to prawdopodobnie możliwe” – powiedział Leith The Register. „Hash zawiera znacznik godzinowy, więc trzeba by wygenerować skróty dla wszystkich kombinacji znaczników czasowych i wiadomości docelowych i porównać je z zaobserwowanym hashem w celu dopasowania – myślę, że jest to wykonalne w przypadku krótkich wiadomości, biorąc pod uwagę współczesną moc obliczeniową”.
W ramach procesu zbierane były również numery telefonów oraz logi połączeń przychodzących i wychodzących. Informacje te zostały następnie przesłane na serwery Google za pośrednictwem usługi Google Play Services Clearcut Logger i usługi Firebase Analytics.
Według artykułu żadna z aplikacji Google nie ma polityki prywatności wyjaśniającej, jakie dane zbiera. Jak na ironię, jest to ścisły wymóg dla aplikacji innych firm w Sklepie Play.
Aby być uczciwym, Usługi Google Play wyjaśniają użytkownikom, że niektóre dane są gromadzone w celach bezpieczeństwa i zapobiegania oszustwom. Jednak w dużej mierze nie jest jasne, dlaczego gromadzenie danych obejmuje treść wiadomości i dzienniki połączeń.
Wiele z Najlepsze telefony z Androidemwłączając Samsung Galaxy S22 Seria i Google Pixel są dostarczane z fabrycznie zainstalowaną aplikacją Wiadomości Google. Aplikacja na telefon jest teraz domyślną aplikacją do wybierania numerów w kilku modelach chińskich marek, takich jak Xiaomi i Realme.
Oznacza to, że obie aplikacje są zainstalowane na milionach sprzedanych urządzeń na całym świecie. Ze względu na samą skalę ich zasięgu najnowsze odkrycia powinny stanowić poważne zagrożenie dla prywatności osób korzystających z tych aplikacji.
Firma Leith przesłała do Google listę zalecanych zmian, w tym dodanie zasad ochrony prywatności aplikacji do obu aplikacji, które jasno określają, jakie dane są gromadzone i dlaczego.
Do tej pory Google wdrożyło sześć z dziewięciu zaleceń Leitha. Obejmuje to dodanie linku do polityki prywatności Google dla konsumentów. Ale trzeba zrobić więcej.