Αυτό το άρθρο έχει ενημερωθεί για να καταστήσει σαφές ότι το Google Messages μεταδίδει ένα μερικό κατακερματισμό SHA256, καθιστώντας δυνατό τον προσδιορισμό του περιεχομένου του μηνύματος μόνο στην περίπτωση σύντομων κειμένων.
Τι πρέπει να ξέρετε
- Μια νέα μελέτη διαπίστωσε ότι οι εφαρμογές Messages και Phone έστελναν αθόρυβα τα μηνύματα κειμένου και τις κλήσεις σας στην Google.
- Και οι δύο εφαρμογές επικοινωνίας δεν έλαβαν τη συναίνεση του χρήστη ούτε πρόσφεραν στους χρήστες τη δυνατότητα να εξαιρεθούν, παραβιάζοντας ενδεχομένως τον GDPR της ΕΕ.
- Τα νέα ευρήματα αποκαλύφθηκαν από έναν καθηγητή πληροφορικής στο Trinity College του Δουβλίνου.
Σε ό, τι θα μπορούσε να είναι μια άλλη περίπτωση παραβίαση απορρήτου δεδομένων, οι εφαρμογές Messages και Phone της Google διαπιστώθηκε ότι στέλνουν κρυφά τα μηνύματα κειμένου και τα αρχεία καταγραφής κλήσεων στους διακομιστές της.
Σύμφωνα με μια ερευνητική εργασία που δημοσιεύτηκε από τον Douglas Leith, καθηγητή πληροφορικής στο Trinity College Το Δουβλίνο, οι εφαρμογές ανταλλαγής μηνυμάτων και κλήσης της Google συνέλεξαν δεδομένα επικοινωνίας των χρηστών χωρίς να τους προειδοποιήσουν (μέσω
Το Μητρώο). Στην πραγματικότητα, αυτό στέρησε από τους χρήστες την ευκαιρία να εξαιρεθούν από τη συλλογή δεδομένων.«Τα δεδομένα που αποστέλλονται από το Google Messages περιλαμβάνουν έναν κατακερματισμό του κειμένου του μηνύματος, επιτρέποντας τη σύνδεση του αποστολέα και του παραλήπτη σε μια ανταλλαγή μηνυμάτων», αναφέρει η εφημερίδα. "Τα δεδομένα που αποστέλλονται από το Google Dialer περιλαμβάνουν τον χρόνο και τη διάρκεια της κλήσης, επιτρέποντας και πάλι τη σύνδεση των δύο ακουστικών που συμμετέχουν σε μια τηλεφωνική κλήση."
Θα πρέπει να σημειωθεί ότι το Messages στέλνει μόνο μια τιμή 128-bit του κατακερματισμού του μηνύματος στον διακομιστή της Google. Ωστόσο, ο Leith πιστεύει ότι, ενώ οι κατακερματισμοί είναι δύσκολο να αντιστραφούν, μέρος του περιεχομένου μπορεί ακόμα να προσδιοριστεί στην περίπτωση σύντομων μηνυμάτων.
«Μου είπαν οι συνάδελφοι ότι ναι, καταρχήν αυτό είναι πιθανό να είναι δυνατό», είπε ο Leith στο The Register. "Ο κατακερματισμός περιλαμβάνει μια ωριαία χρονική σήμανση, επομένως θα περιλαμβάνει τη δημιουργία κατακερματισμών για όλους τους συνδυασμούς χρονικών σφραγίδων και στόχου μηνύματα και συγκρίνοντάς τα με τον κατακερματισμό που παρατηρήθηκε για έναν αγώνα – νομίζω ότι είναι εφικτό για σύντομα μηνύματα που δίνονται στον σύγχρονο υπολογισμό εξουσία."
Αριθμοί τηλεφώνου, καθώς και αρχεία καταγραφής εισερχόμενων και εξερχόμενων κλήσεων, συλλέχθηκαν επίσης ως μέρος της διαδικασίας. Στη συνέχεια, αυτές οι πληροφορίες μεταδόθηκαν στους διακομιστές της Google μέσω της υπηρεσίας καταγραφής Clearcut των Υπηρεσιών Google Play και της υπηρεσίας Firebase Analytics.
Σύμφωνα με την εφημερίδα, καμία εφαρμογή της Google δεν έχει πολιτική απορρήτου που να εξηγεί ποια δεδομένα συλλέγει. Αυτό είναι, κατά ειρωνικό τρόπο, μια αυστηρή απαίτηση για εφαρμογές τρίτων στο Play Store.
Για να είμαστε δίκαιοι, οι Υπηρεσίες Google Play καθιστούν σαφές στους χρήστες ότι συλλέγουν ορισμένα δεδομένα για λόγους ασφάλειας και πρόληψης απάτης. Ωστόσο, είναι σε μεγάλο βαθμό ασαφές γιατί η συλλογή δεδομένων περιλαμβάνει περιεχόμενο μηνυμάτων και αρχεία καταγραφής κλήσεων.
Πολλά από τα τα καλύτερα τηλέφωνα Android, συμπεριλαμβανομένης της Samsung Galaxy S22 σειρά και σειρά Google Pixel, προεγκατεστημένα με την εφαρμογή Μηνύματα της Google. Η εφαρμογή Phone, εν τω μεταξύ, είναι η προεπιλεγμένη εφαρμογή κλήσης σε πολλά μοντέλα από κινεζικές μάρκες όπως η Xiaomi και η Realme.
Αυτό σημαίνει ότι και οι δύο εφαρμογές είναι εγκατεστημένες σε εκατομμύρια συσκευές που πωλούνται παγκοσμίως. Λόγω του τεράστιου όγκου της απήχησής τους, τα πιο πρόσφατα ευρήματα θα πρέπει να αποτελούν μείζον θέμα προστασίας του απορρήτου για τα άτομα που χρησιμοποιούν αυτές τις εφαρμογές.
Ο Leith παρουσίασε στην Google μια λίστα με προτάσεις για αλλαγές, συμπεριλαμβανομένης της προσθήκης πολιτικών απορρήτου εφαρμογών και στις δύο εφαρμογές που δηλώνουν ξεκάθαρα ποια δεδομένα συλλέγονται και γιατί.
Η Google έχει μέχρι στιγμής εφαρμόσει έξι στοιχεία από τις εννέα συστάσεις της Leith. Αυτά περιλαμβάνουν την προσθήκη συνδέσμου στην πολιτική απορρήτου των καταναλωτών της Google. Πρέπει όμως να γίνει περισσότερη δουλειά.