Denne artikkelen har blitt oppdatert for å gjøre det klart at Google Messages overfører en delvis SHA256-hash, noe som gjør det mulig å bestemme meldingsinnholdet kun ved korte tekster.
Hva du trenger å vite
- En ny studie fant at meldings- og telefonappene i det stille sendte tekst- og anropsinformasjonen din til Google.
- Begge kommunikasjonsappene fikk ikke brukersamtykke eller ga brukere muligheten til å melde seg ut, noe som potensielt bryter med EUs GDPR.
- De nye funnene ble avslørt av en informatikkprofessor ved Trinity College Dublin.
I det som kan være enda et tilfelle av brudd på personvernet, Googles meldinger og telefonapper ble funnet å sende tekstmeldinger og anropslogger til serverne i hemmelighet.
I følge en forskningsartikkel publisert av Douglas Leith, en professor i informatikk ved Trinity College Dublin, Googles meldings- og oppringingsapper samlet brukernes kommunikasjonsdata uten å gi dem beskjed (via Registeret). Dette fratok faktisk brukere muligheten til å velge bort datainnsamling.
"Dataene som sendes av Google Messages inkluderer en hash av meldingsteksten, som tillater kobling av sender og mottaker i en meldingsutveksling," heter det i avisen. "Dataene som sendes av Google Dialer inkluderer samtaletid og varighet, noe som igjen tillater kobling av de to håndsettene som er involvert i en telefonsamtale."
Det skal bemerkes at Messages bare sender en 128-bits verdi av meldings-hashen til Googles server. Leith mener imidlertid at selv om hasjer er vanskelig å reversere, kan noe av innholdet fortsatt bestemmes ved korte meldinger.
"Jeg blir fortalt av kolleger at ja, i prinsippet er dette sannsynligvis mulig," sa Leith til The Register. "Hashen inkluderer et timestempel, så det vil innebære å generere hash for alle kombinasjoner av tidsstempler og mål meldinger og sammenligne disse med den observerte hasjen for en match – mulig tror jeg for korte meldinger gitt moderne databehandling makt."
Telefonnumre, samt innkommende og utgående samtalelogger, ble også samlet inn som en del av prosessen. Disse opplysningene ble deretter overført til Googles servere via Google Play Services Clearcut logger-tjenesten og Firebase Analytics-tjenesten.
Ifølge avisen har ingen av Google-appene noen personvernregler som forklarer hvilke data den samler inn. Dette er ironisk nok et strengt krav for tredjepartsapper i Play Store.
For å være rettferdig gjør Google Play Services det klart for brukerne at det samler inn visse data for sikkerhets- og svindelforebyggingsformål. Det er imidlertid stort sett uklart hvorfor datainnsamlingen inkluderer meldingsinnhold og anropslogger.
Mange av beste Android-telefoner, inkludert Samsung Galaxy S22 serien og Google Pixel-serien, leveres forhåndslastet med Googles Messages-app. Telefon-appen er i mellomtiden standard oppringingsapp på flere modeller fra kinesiske merker som Xiaomi og Realme.
Dette betyr at begge appene er installert på millioner av enheter som selges over hele verden. På grunn av omfanget av deres rekkevidde, bør de siste funnene være et stort personvernproblem for folk som bruker disse appene.
Leith har presentert Google med en liste med anbefalinger for endringer, inkludert å legge til app-personvernregler i begge appene som tydelig angir hvilke data som samles inn og hvorfor.
Google har så langt implementert seks elementer av Leiths ni anbefalinger. Disse inkluderer å legge til en lenke til Googles retningslinjer for personvern for forbrukere. Men mer arbeid må gjøres.