Tämä artikkeli on päivitetty selventämään, että Google Messages lähettää osittaisen SHA256-tiivisteen, mikä mahdollistaa viestin sisällön määrittämisen vain lyhyiden tekstien osalta.
Mitä sinun tarvitsee tietää
- Uusi tutkimus havaitsi, että Viestit- ja Puhelin-sovellukset lähettivät hiljaa teksti- ja puhelutietojasi Googlelle.
- Molemmat viestintäsovellukset eivät saaneet käyttäjän suostumusta tai tarjonneet käyttäjille mahdollisuutta kieltäytyä käytöstä, mikä saattaa rikkoa EU: n GDPR: ää.
- Uudet havainnot paljasti tietojenkäsittelytieteen professori Trinity Collegessa Dublinissa.
Missä voisi olla vielä toinen tapaus tietosuojaloukkaus, Googlen Viestit- ja Puhelinsovellusten havaittiin lähettävän salaa tekstiviestejäsi ja puhelulokejasi palvelimilleen.
Trinity Collegen tietojenkäsittelytieteen professorin Douglas Leithin julkaiseman tutkimuspaperin mukaan Dublin, Googlen viesti- ja numeronvalintasovellukset keräsivät käyttäjien viestintätietoja antamatta heille varoitusta (kautta Rekisteri). Käytännössä tämä eväsi käyttäjiltä mahdollisuuden kieltäytyä tietojen keräämisestä.
"Google Messagesin lähettämät tiedot sisältävät viestin tekstin tiivisteen, joka mahdollistaa lähettäjän ja vastaanottajan linkittämisen viestien vaihdossa", lehdessä todetaan. "Google Dialerin lähettämät tiedot sisältävät puhelun ajan ja keston, mikä taas mahdollistaa puhelun aikana olevien kahden luurin yhdistämisen."
On huomattava, että Messages lähettää vain 128-bittisen tiivisteen arvon Googlen palvelimelle. Leith kuitenkin uskoo, että vaikka tiivistettä on vaikea kääntää, osa sisällöstä voidaan silti määrittää lyhytsanomien tapauksessa.
"Kollegani ovat sanoneet minulle, että kyllä, periaatteessa tämä on todennäköisesti mahdollista", Leith kertoi The Registerille. "Hash sisältää tuntikohtaisen aikaleiman, joten se edellyttäisi tiivisteiden luomista kaikille aikaleimojen ja kohteen yhdistelmille viestit ja niiden vertaaminen havaittuun tiivisteeseen osuman saamiseksi – mielestäni mahdollista lyhytviesteille nykyaikaisella laskennalla voimaa."
Osana prosessia kerättiin myös puhelinnumeroita sekä saapuvien ja lähtevien puhelujen lokit. Nämä tiedot välitettiin sitten Googlen palvelimille Google Play Services Clearcut -loggeripalvelun ja Firebase Analytics -palvelun kautta.
Lehden mukaan kummallakaan Google-sovelluksella ei ole tietosuojakäytäntöä, joka selittäisi, mitä tietoja se kerää. Tämä on ironista kyllä, tiukka vaatimus kolmannen osapuolen sovelluksille Play Kaupassa.
Oikeudenmukaisuuden vuoksi Google Play Palvelut tekee käyttäjille selväksi, että se kerää tiettyjä tietoja turvallisuus- ja petostentorjuntatarkoituksiin. On kuitenkin suurelta osin epäselvää, miksi tiedonkeruu sisältää viestien sisällön ja puhelulokit.
Monet niistä parhaat Android-puhelimet, sisältäen Samsung Galaxy S22 -sarjan ja Google Pixel -valikoiman mukana tulee esiladattu Googlen Viestit-sovellus. Puhelinsovellus on puolestaan oletusvalintasovellus useissa kiinalaisten merkkien, kuten Xiaomin ja Realmen, malleissa.
Tämä tarkoittaa, että molemmat sovellukset on asennettu miljooniin laitteisiin, joita myydään maailmanlaajuisesti. Koska niiden kattavuus on valtava, viimeisimmät havainnot olisivat suuri tietosuojahuoli näitä sovelluksia käyttäville ihmisille.
Leith on esittänyt Googlelle luettelon muutossuosituksia, mukaan lukien sovellusten tietosuojakäytäntöjen lisääminen molempiin sovelluksiin, joissa kerrotaan selvästi, mitä tietoja kerätään ja miksi.
Google on tähän mennessä toteuttanut kuusi kohtaa Leithin yhdeksästä suosituksesta. Näitä ovat muun muassa linkin lisääminen Googlen kuluttajatietosuojakäytäntöön. Mutta työtä on tehtävä lisää.