Telefon Google i Google Wiadomości szpiegowały użytkowników Androida. Zero szacunku dla klientów
Proponowane przez Google’a aplikacje do dzwonienia i SMS-ów po cichu wysyłały informacje o połączeniach i SMS-ach do chmury. Bez powiadomienia o tym użytkownika, bez możliwości wyłączenia tego mechanizmu.
Google Telefon i Google Wiadomości to zaprojektowane przez Google’a aplikacje do dzwonienia i SMS-owania z urządzeń z systemem Android. Są to, trzeba przyznać, bardzo udane twory pod względem użytkowym. Są na tyle dobre, że wielu producentów telefonów zrezygnowało z tworzenia własnych apek, preinstalując te od Google’a na swoich urządzeniach.
Czytaj też:
Producenci ci, jak się okazuje, nieświadomie narażali swoich klientów na szpiegowanie. Aplikacje te są też dostępne w Sklepie Play, można je zainstalować i podmienić te zapewniane przez producenta. Wielu użytkowników tak robi, bo pod względem użytkowym apki te są wręcz wzorowe. Niestety, jak się okazuje, w kwestii ochrony prywatności użytkowników takim wzorem już nie są. Co więcej, potencjalnie naruszają europejskie prawo - konkretniej, RODO.
SMS-y i połączenia głosowe na telefonach z Androidem tak nie do końca prywatne.
Należy podkreślić, że omawiany problem nie dotyczy wszystkich urządzeń z Androidem, a tylko tych, które wykorzystują aplikacje Google Telefon i Google Wiadomości (preinstalowane lub zainstalowane przez użytkownika). Jak wynika z analizy Douglasa Leitha z uczelni wyższej Trinity w Dublinie, obie aplikacje wysyłają dane do usługi analitycznej Google Firebase.
Do wysyłanych danych należą hashe SMS-ów (informacja pozwalająca połączyć nadawcę i odbiorcę w kontekście wiadomości tekstowych) oraz długość i czas połączenia głosowego (również pozwalają połączyć obie strony połączenia), a także numery telefonów między którymi wymieniane są wiadomości oraz połączenia głosowe.
Jak podkreśla uczony, użytkownik nie jest informowany o fakcie wysyłania tych danych do Google’a. Nie ma też możliwości wyłączenia tego mechanizmu. Dane te również nie są uwzględniane w usłudze Google Takeout, a więc tej pozwalającej użytkownikowi na pobranie wszystkich zebranych na jego temat danych z serwerów Google’a.
Co więcej, sposób w jaki Google Wiadomości wysyła hashe SMS-ów, może być wykorzystany do odczytania ich treści (choć uczony zauważa też, że jest to trudne i nie zawsze możliwe). Aplikacja odczytuje treść SMS-a, generuje hash typu SHA256, a następnie wysyła jego okrojoną część w 128-bitowym formacie. Za pomocą inżynierii wstecznej można z tych danych odczytać co najmniej fragment zawartości. Leith podkreśla jednak, że wydaje się skrajnie wątpliwe, by Google w ten sposób chciał odczytywać treści wiadomości - to raczej niedoskonałe zabezpieczenie niż złowrogie działanie.
Google przyznaje się do błędu, zapowiada zmiany.
Douglas Leith dokonał powyższych odkryć już w listopadzie. Zdecydował jednak nie publikować swoich znalezisk, woląc najpierw skonsultować się z Google’em. Jak twierdzi, firma zobowiązała się do czytelniejszego informowania użytkowników o tym, że korzystają z jej aplikacji i na jakich zasadach, do zaprzestania rejestrowania połączeń i SMS-ów oraz do zmian w narzędziach telemetrycznych, by dane z nich pochodzące nie mogły zostać powiązane z konkretnym użytkownikiem.
Leith zauważa jednak, że do dziś Google nie wywiązał się w pełni z powyższych zobowiązań - stąd upublicznienie jego znaleziska. Uczony spekuluje też, że za sprawą Usług Play może być zbieranych więcej prywatnych danych niż tylko te, które odkrył sam.