Šis straipsnis buvo atnaujintas, kad būtų aišku, kad „Google Messages“ perduoda dalinę SHA256 maišą, todėl pranešimo turinį galima nustatyti tik trumpų tekstų atveju.
Ką tu turi žinoti
- Naujas tyrimas parodė, kad programos „Messages“ ir „Telefonas“ tyliai siunčia jūsų teksto ir skambučių informaciją „Google“.
- Abi bendravimo programėlės negavo naudotojo sutikimo ir nesuteikė vartotojams galimybės atsisakyti, o tai galimai pažeidžia ES BDAR.
- Naujas išvadas atskleidė Dublino Trinity koledžo kompiuterių mokslų profesorius.
Koks gali būti dar vienas atvejis duomenų privatumo pažeidimas, buvo nustatyta, kad „Google“ pranešimų ir telefono programos slapta siunčia jūsų tekstinius pranešimus ir skambučių žurnalus į savo serverius.
Remiantis tyrimo straipsniu, kurį paskelbė Trejybės koledžo kompiuterių mokslų profesorius Douglasas Leithas Dubline, „Google“ pranešimų siuntimo ir numerio rinkimo programos rinko vartotojų ryšių duomenis, jų neįspėdami (per Registras). Tiesą sakant, tai atėmė iš vartotojų galimybę atsisakyti duomenų rinkimo.
„Google Messages siunčiami duomenys apima pranešimo teksto maišą, leidžiantį susieti siuntėją ir gavėją keičiantis pranešimais“, - teigiama dokumente. „Google Dialer siunčiami duomenys apima skambučio laiką ir trukmę, o tai leidžia susieti du telefono skambučio telefonus.
Reikėtų pažymėti, kad „Messages“ siunčia tik 128 bitų pranešimo maišos reikšmę „Google“ serveriui. Tačiau Leithas mano, kad nors maišą sunku pakeisti, dalį turinio vis tiek galima nustatyti trumpųjų pranešimų atveju.
„Kolegos man pasakė, kad taip, iš principo tai greičiausiai įmanoma“, – „The Register“ sakė Leithas. „Maišoje yra valandinė laiko žyma, todėl reikėtų generuoti maišą visiems laiko žymų ir tikslo deriniams žinutes ir jų palyginimas su pastebėta atitikties maiša – manau, kad tai įmanoma trumpiesiems pranešimams, atsižvelgiant į šiuolaikinį skaičiavimą galia“.
Telefonų numeriai, taip pat gaunamų ir išeinančių skambučių žurnalai taip pat buvo renkami kaip proceso dalis. Tada ši informacija buvo perduota į „Google“ serverius naudojant „Google Play“ paslaugų „Clearcut“ registravimo paslaugą ir „Firebase Analytics“ paslaugą.
Remiantis straipsniu, nei viena „Google“ programa neturi privatumo politikos, kuri paaiškintų, kokius duomenis ji renka. Ironiška, kad tai griežtas reikalavimas trečiųjų šalių programoms „Play“ parduotuvėje.
Teisybės dėlei „Google Play“ paslaugos naudotojams aiškiai nurodo, kad saugos ir sukčiavimo prevencijos tikslais renka tam tikrus duomenis. Tačiau iš esmės neaišku, kodėl duomenų rinkimas apima pranešimų turinį ir skambučių žurnalus.
Daugelis iš geriausi Android telefonai, įskaitant Samsung Galaxy S22 serijos ir „Google Pixel“ serijos, iš anksto įkeltos su „Google“ pranešimų programa. Tuo tarpu telefono programa yra numatytoji rinkiklio programa keliuose Kinijos prekės ženklų, tokių kaip „Xiaomi“ ir „Realme“, modeliuose.
Tai reiškia, kad abi programos įdiegtos milijonuose visame pasaulyje parduodamų įrenginių. Dėl didžiulio jų pasiekiamumo, naujausios išvados turėtų kelti didelį susirūpinimą dėl privatumo žmonėms, kurie naudoja šias programas.
Leithas „Google“ pateikė pakeitimų rekomendacijų sąrašą, įskaitant programų privatumo politikos įtraukimą į abi programas, kuriose aiškiai nurodoma, kurie duomenys renkami ir kodėl.
„Google“ iki šiol įgyvendino šešis elementus iš devynių Leith rekomendacijų. Tai apima nuorodos į „Google“ vartotojų privatumo politiką pridėjimą. Tačiau reikia nuveikti daugiau.