Tento článek byl aktualizován, aby bylo jasné, že Zprávy Google přenášejí částečný hash SHA256, což umožňuje určit obsah zprávy pouze v případě krátkých textů.
Co potřebuješ vědět
- Nová studie zjistila, že aplikace Zprávy a Telefon tiše odesílají vaše textové zprávy a informace o hovorech do Googlu.
- Obě komunikační aplikace nezískaly souhlas uživatele ani nenabízely uživatelům možnost odhlásit se, což by mohlo porušovat GDPR EU.
- Nové poznatky odhalil profesor informatiky na Trinity College Dublin.
V čem by mohl být další případ porušení ochrany osobních údajů, bylo zjištěno, že aplikace Zprávy a Telefon společnosti Google tajně odesílají vaše textové zprávy a protokoly hovorů na své servery.
Tvrdí to výzkumný článek publikovaný Douglasem Leithem, profesorem informatiky na Trinity College Dublinské aplikace Google pro zasílání zpráv a vytáčení shromažďovaly komunikační data uživatelů, aniž by je upozorňovaly (přes Registrace). Ve skutečnosti to uživatele připravilo o možnost odhlásit se ze sběru dat.
"Data odesílaná službou Google Messages zahrnují hash textu zprávy, což umožňuje propojení odesílatele a příjemce při výměně zpráv," uvádí list. "Data odesílaná službou Google Dialer zahrnují dobu a trvání hovoru, což opět umožňuje propojení dvou telefonů zapojených do telefonního hovoru."
Je třeba poznamenat, že aplikace Zprávy odesílá na server Google pouze 128bitovou hodnotu hash zprávy. Leith se však domnívá, že zatímco hash je obtížné zvrátit, část obsahu lze v případě krátkých zpráv stále určit.
"Kolegové mi řekli, že ano, v zásadě je to pravděpodobně možné," řekl Leith The Register. „Hash obsahuje hodinové časové razítko, takže by zahrnovalo generování hashů pro všechny kombinace časových razítek a cíle zprávy a jejich porovnání s pozorovaným hashem pro shodu – myslím, že u krátkých zpráv vzhledem k moderním výpočetním Napájení."
V rámci tohoto procesu byla také shromážděna telefonní čísla a také protokoly příchozích a odchozích hovorů. Tyto informace byly poté přeneseny na servery Google prostřednictvím služby Google Play Services Clearcut logger a služby Firebase Analytics.
Podle listu žádná aplikace Google nemá zásady ochrany osobních údajů, které by vysvětlovaly, jaká data shromažďuje. To je ironicky přísný požadavek na aplikace třetích stran v Obchodě Play.
Abychom byli spravedliví, Služby Google Play uživatelům jasně dávají najevo, že shromažďují určitá data pro účely zabezpečení a prevence podvodů. Je však do značné míry nejasné, proč shromažďování dat zahrnuje obsah zpráv a protokoly hovorů.
Mnoho z nejlepší telefony s Androidem, včetně Samsung Galaxy S22 série a řada Google Pixel, jsou dodávány s předinstalovanou aplikací Zprávy Google. Aplikace Telefon je mezitím výchozí aplikací vytáčení na několika modelech čínských značek, jako je Xiaomi a Realme.
To znamená, že obě aplikace jsou nainstalovány na milionech zařízení prodaných po celém světě. Vzhledem k obrovskému rozsahu jejich dosahu by nejnovější zjištění měla být hlavním problémem ochrany soukromí lidí, kteří tyto aplikace používají.
Leith předložil společnosti Google seznam doporučení pro změny, včetně přidání zásad ochrany osobních údajů aplikací do obou aplikací, které jasně udávají, která data jsou shromažďována a proč.
Google zatím implementoval šest položek z devíti Leithových doporučení. Patří mezi ně přidání odkazu na zásady ochrany soukromí spotřebitelů společnosti Google. Je však třeba udělat více práce.