Эта статья была обновлена, чтобы прояснить, что Google Messages передает частичный хэш SHA256, что позволяет определить содержание сообщения только в случае коротких текстов.
Что тебе нужно знать
- Новое исследование показало, что приложения «Сообщения» и «Телефон» незаметно отправляли ваш текст и информацию о звонках в Google.
- Оба коммуникационных приложения не получили согласия пользователя и не предложили пользователям возможность отказаться, что потенциально нарушает GDPR ЕС.
- Новые результаты были раскрыты профессором информатики Тринити-колледжа в Дублине.
В чем может быть еще один случай нарушение конфиденциальности данных, было обнаружено, что приложения Google Messages и Phone тайно отправляют ваши текстовые сообщения и журналы вызовов на свои серверы.
Согласно исследованию, опубликованному Дугласом Лейтом, профессором информатики Тринити-колледжа. Дублин, приложения Google для обмена сообщениями и номеронабирателя собирали данные о коммуникациях пользователей, не предупреждая их. (с помощью Регистр). По сути, это лишило пользователей возможности отказаться от сбора данных.
«Данные, отправляемые Google Messages, включают хэш текста сообщения, что позволяет связать отправителя и получателя в обмене сообщениями», — говорится в документе. «Данные, отправляемые Google Dialer, включают время и продолжительность звонка, что опять же позволяет связать две трубки, участвующие в телефонном звонке».
Следует отметить, что Messages отправляет на сервер Google только 128-битное значение хэша сообщения. Однако Лейт считает, что, хотя хэши трудно реверсировать, некоторая часть содержимого все же может быть определена в случае коротких сообщений.
«Коллеги сказали мне, что да, в принципе это возможно», — сказал Лейт The Register. «Хэш включает почасовую метку времени, поэтому он будет включать генерацию хэшей для всех комбинаций меток времени и целевых сообщения и сравнение их с наблюдаемым хэшем для совпадения - возможно, я думаю, для коротких сообщений с учетом современных вычислений власть."
Телефонные номера, а также журналы входящих и исходящих вызовов также были собраны в рамках этого процесса. Затем эти фрагменты информации передавались на серверы Google через службу ведения журнала Google Play Services Clearcut и службу Firebase Analytics.
Согласно газете, ни одно из приложений Google не имеет политики конфиденциальности, объясняющей, какие данные оно собирает. По иронии судьбы, это строгое требование для сторонних приложений в Play Store.
Справедливости ради стоит отметить, что Службы Google Play ясно дают понять пользователям, что они собирают определенные данные в целях безопасности и предотвращения мошенничества. Однако в значительной степени неясно, почему сбор данных включает содержимое сообщений и журналы вызовов.
Многие из лучшие телефоны Android, в том числе Самсунг Галакси С22 серия и линейка Google Pixel поставляются с предустановленным приложением Google Messages. Тем временем приложение «Телефон» является приложением для набора номера по умолчанию на нескольких моделях китайских брендов, таких как Xiaomi и Realme.
Это означает, что оба приложения установлены на миллионах устройств, проданных по всему миру. Из-за огромного объема их охвата последние результаты должны быть серьезной проблемой конфиденциальности для людей, которые используют эти приложения.
Лейт представил Google список рекомендаций по изменениям, включая добавление политик конфиденциальности приложений в оба приложения, в которых четко указано, какие данные собираются и почему.
На данный момент Google реализовал шесть пунктов из девяти рекомендаций Лейта. К ним относится добавление ссылки на политику конфиденциальности потребителей Google. Но необходимо проделать больше работы.