Тази статия е актуализирана, за да стане ясно, че Google Messages предава частичен хеш SHA256, което прави възможно определянето на съдържанието на съобщението само в случай на кратки текстове.
Какво трябва да знаете
- Ново проучване установи, че приложенията Messages и Phone тихо изпращат вашите текстови съобщения и информация за обаждания до Google.
- И двете комуникационни приложения не са получили съгласието на потребителя или не са предложили на потребителите възможност да се откажат, което потенциално нарушава GDPR на ЕС.
- Новите открития бяха разкрити от професор по компютърни науки в Тринити Колидж в Дъблин.
В това, което може да бъде още един случай на нарушение на поверителността на данните, беше установено, че приложенията Messages и Phone на Google тайно изпращат вашите текстови съобщения и регистрационни файлове за обаждания до своите сървъри.
Според изследователска статия, публикувана от Дъглас Лийт, професор по компютърни науки в Тринити Колидж Дъблин, приложенията на Google за съобщения и набиране събираха данни за комуникация на потребителите, без да ги предупреждават (чрез
Регистърът). На практика това лиши потребителите от възможността да се откажат от събирането на данни.„Данните, изпратени от Google Messages, включват хеш на текста на съобщението, което позволява свързване на подател и получател при обмен на съобщения“, се посочва в документа. „Данните, изпратени от Google Dialer, включват времето и продължителността на разговора, което отново позволява свързване на двете слушалки, участващи в телефонен разговор.“
Трябва да се отбележи, че Messages изпраща само 128-битова стойност на хеша на съобщението до сървъра на Google. Лийт обаче вярва, че докато хешовете са трудни за обръщане, част от съдържанието все още може да бъде определено в случай на кратки съобщения.
„Колегите ми казаха, че да, по принцип това вероятно е възможно“, каза Лейт пред The Register. „Хешът включва клеймо за час, така че ще включва генериране на хешове за всички комбинации от клеймо за час и цел съобщения и сравняването им с наблюдавания хеш за съвпадение – възможно е според мен за кратки съобщения предвид съвременните изчисления мощност."
Телефонните номера, както и регистрите на входящите и изходящите обаждания също бяха събрани като част от процеса. След това тези части от информация бяха предадени на сървърите на Google чрез услугата Google Play Services Clearcut logger и услугата Firebase Analytics.
Според вестника нито едно от приложенията на Google няма политика за поверителност, която да обяснява какви данни събира. По ирония на съдбата това е строго изискване за приложения на трети страни в Play Store.
За да бъдем честни, услугите на Google Play изясняват на потребителите, че събират определени данни за целите на сигурността и предотвратяването на измами. До голяма степен обаче не е ясно защо събирането на данни включва съдържание на съобщения и дневници на повиквания.
Много от най-добрите телефони с Android, включително Samsung Galaxy S22 серия и гама от Google Pixel, идват предварително инсталирани с приложението Messages на Google. Междувременно приложението Phone е приложението за набиране по подразбиране на няколко модела от китайски марки като Xiaomi и Realme.
Това означава, че и двете приложения са инсталирани на милиони устройства, продавани по целия свят. Поради големия им обхват, последните открития трябва да са основна грижа за поверителността на хората, които използват тези приложения.
Leith представи на Google списък с препоръки за промени, включително добавяне на правила за поверителност на приложенията към двете приложения, които ясно посочват кои данни се събират и защо.
Google досега е внедрил шест елемента от деветте препоръки на Leith. Те включват добавяне на връзка към политиката за поверителност на потребителите на Google. Но трябва да се свърши още работа.