Questo articolo è stato aggiornato per chiarire che Google Messaggi trasmette un hash SHA256 parziale, consentendo di determinare il contenuto del messaggio solo nel caso di testi brevi.
Cosa hai bisogno di sapere
- Un nuovo studio ha rilevato che le app Messaggi e Telefono inviavano silenziosamente il tuo messaggio e le informazioni sulle chiamate a Google.
- Entrambe le app di comunicazione non hanno ottenuto il consenso dell'utente né hanno offerto agli utenti l'opportunità di rinunciare, violando potenzialmente il GDPR dell'UE.
- Le nuove scoperte sono state rivelate da un professore di informatica al Trinity College di Dublino.
In quello che potrebbe essere l'ennesimo caso di violazione della riservatezza dei dati, è stato scoperto che le app Messaggi e Telefono di Google inviavano segretamente i tuoi messaggi di testo e i registri delle chiamate ai suoi server.
Secondo un documento di ricerca pubblicato da Douglas Leith, professore di informatica al Trinity College Dublino, le app di messaggistica e dialer di Google hanno raccolto i dati delle comunicazioni degli utenti senza avvisarli (attraverso
Il registro). In effetti, questo ha privato gli utenti della possibilità di rinunciare alla raccolta dei dati."I dati inviati da Google Messages includono un hash del testo del messaggio, che consente il collegamento di mittente e destinatario in uno scambio di messaggi", afferma il documento. "I dati inviati da Google Dialer includono l'ora e la durata della chiamata, consentendo ancora una volta il collegamento dei due telefoni impegnati in una telefonata."
Va notato che Messaggi invia solo un valore a 128 bit dell'hash del messaggio al server di Google. Tuttavia, Leith ritiene che mentre gli hash sono difficili da invertire, parte del contenuto può ancora essere determinato nel caso di messaggi brevi.
"I colleghi mi hanno detto che sì, in linea di principio è probabile che sia possibile", ha detto Leith a The Register. "L'hash include un timestamp orario, quindi comporterebbe la generazione di hash per tutte le combinazioni di timestamp e target messaggi e confrontandoli con l'hash osservato per una corrispondenza - fattibile penso per messaggi brevi dato il calcolo moderno energia."
Nell'ambito del processo sono stati raccolti anche i numeri di telefono, nonché i registri delle chiamate in entrata e in uscita. Queste informazioni sono state poi trasmesse ai server di Google tramite il servizio logger Google Play Services Clearcut e il servizio Firebase Analytics.
Secondo il documento, nessuna delle due app di Google ha una politica sulla privacy che spiega quali dati raccoglie. Questo è, ironia della sorte, un requisito rigoroso per le app di terze parti sul Play Store.
Ad essere onesti, Google Play Services chiarisce agli utenti che raccoglie determinati dati per motivi di sicurezza e prevenzione delle frodi. Tuttavia, non è in gran parte chiaro il motivo per cui la raccolta di dati include il contenuto dei messaggi e i registri delle chiamate.
Molti dei migliori telefoni Android, includendo il SamsungGalaxy S22 serie e la gamma Google Pixel, sono precaricati con l'app Messaggi di Google. L'app Telefono, nel frattempo, è l'app dialer predefinita su diversi modelli di marchi cinesi come Xiaomi e Realme.
Ciò significa che entrambe le app sono installate su milioni di dispositivi venduti in tutto il mondo. A causa dell'enorme volume della loro portata, le ultime scoperte dovrebbero essere una delle principali preoccupazioni per la privacy delle persone che utilizzano queste app.
Leith ha presentato a Google un elenco di consigli per le modifiche, inclusa l'aggiunta di politiche sulla privacy delle app a entrambe le app che indicano chiaramente quali dati vengono raccolti e perché.
Google ha finora implementato sei elementi dei nove consigli di Leith. Questi includono l'aggiunta di un collegamento alla politica sulla privacy dei consumatori di Google. Ma è necessario lavorare di più.