Este artigo foi atualizado para deixar claro que o Google Messages transmite um hash SHA256 parcial, possibilitando determinar o conteúdo da mensagem apenas no caso de textos curtos.
O que você precisa saber
- Um novo estudo descobriu que os aplicativos Mensagens e Telefone estavam enviando silenciosamente suas mensagens de texto e informações de chamadas para o Google.
- Ambos os aplicativos de comunicação não obtiveram o consentimento do usuário ou ofereceram aos usuários a oportunidade de recusar, potencialmente violando o GDPR da UE.
- As novas descobertas foram reveladas por um professor de ciência da computação do Trinity College Dublin.
No que poderia ser mais um caso de violação de privacidade de dados, descobriu-se que os aplicativos de mensagens e telefone do Google enviam secretamente suas mensagens de texto e registros de chamadas para seus servidores.
De acordo com um trabalho de pesquisa publicado por Douglas Leith, professor de ciência da computação no Trinity College Dublin, os aplicativos de mensagens e discagem do Google coletaram dados de comunicação dos usuários sem avisá-los (através da
O registro). Na verdade, isso privou os usuários da chance de cancelar a coleta de dados."Os dados enviados pelo Google Messages incluem um hash do texto da mensagem, permitindo a ligação do remetente e do destinatário em uma troca de mensagens", afirma o jornal. “Os dados enviados pelo Google Dialer incluem o tempo e a duração da chamada, permitindo novamente a ligação dos dois aparelhos envolvidos em uma chamada telefônica”.
Deve-se observar que o Messages envia apenas um valor de 128 bits do hash da mensagem para o servidor do Google. No entanto, Leith acredita que, embora os hashes sejam difíceis de reverter, parte do conteúdo ainda pode ser determinado no caso de mensagens curtas.
“Os colegas disseram-me que sim, em princípio é provável que isso seja possível”, disse Leith ao The Register. "O hash inclui um carimbo de hora em hora, portanto, envolveria a geração de hashes para todas as combinações de carimbos de data e hora e destino mensagens e comparando-as com o hash observado para uma correspondência - viável, penso eu, para mensagens curtas, dada a computação moderna poder."
Números de telefone, bem como registros de chamadas recebidas e efetuadas, também foram coletados como parte do processo. Essas informações foram então transmitidas aos servidores do Google por meio do serviço de logger Clearcut do Google Play Services e do serviço Firebase Analytics.
De acordo com o jornal, nenhum dos aplicativos do Google possui uma política de privacidade que explique quais dados ele coleta. Isso é, ironicamente, um requisito estrito para aplicativos de terceiros na Play Store.
Para ser justo, o Google Play Services deixa claro para os usuários que coleta determinados dados para fins de segurança e prevenção de fraudes. No entanto, não está claro por que a coleta de dados inclui conteúdo de mensagens e registros de chamadas.
Muitos dos melhores telefones Android, incluindo o SamsungGalaxy S22 série e linha do Google Pixel, vêm pré-carregados com o aplicativo de mensagens do Google. O aplicativo Phone, por sua vez, é o aplicativo discador padrão em vários modelos de marcas chinesas, como Xiaomi e Realme.
Isso significa que ambos os aplicativos são instalados em milhões de dispositivos vendidos em todo o mundo. Devido ao grande volume de seu alcance, as descobertas mais recentes devem ser uma grande preocupação de privacidade para as pessoas que usam esses aplicativos.
Leith apresentou ao Google uma lista de recomendações para mudanças, incluindo a adição de políticas de privacidade de aplicativos a ambos os aplicativos que indicam claramente quais dados estão sendo coletados e por quê.
Até agora, o Google implementou seis itens das nove recomendações de Leith. Isso inclui adicionar um link para a política de privacidade do consumidor do Google. Mas mais trabalho precisa ser feito.