Google dba, by aplikacje z Google Play musiały prosić o dostęp do naszych prywatnych danych. No i dobrze, tylko że własne aplikacje traktuje zupełnie inaczej.
Aplikacje Wiadomości i domyślny dialer Androida bez skrępowania zbierały numery telefonów, historię i czas rozmów, SMS-ów, a także sumy kontrolne treści wiadomości. Na tej podstawie Google mógłby odtworzyć sieć połączeń między użytkownikami Androida. To dalece wykracza poza normalne dane diagnostyczne. Przy tym Google robi to wszystko bez ostrzeżenia. W ustawieniach aplikacji nie ma też jednego przełącznika, który pozwalałby ograniczyć wysyłanie osobistych informacji do Google'a.
Fakt ten został odkryty przez badacza z Trinity College w Dublinie, Douglasa Leitha. Z jego publikacji [PDF] wynika, że aplikacje Wiadomości i Telefon Google poważnie naruszają naszą prywatność. Informacje o naszej komunikacji są wysyłane do loggera Google Play Service Clearcut oraz do systemu analitycznego Google Firebase. Nie ma możliwości, by to wyłączyć. Nie ma informacji o tym, po co te dane są gromadzone. Nie ma polityki prywatności (w Google Play są linki do ogólnej polityki prywatności Google). Nie da się tych danych ściągnąć z użyciem usługi Google Takeout. Nie ma zatem tych rzeczy, których Google wymaga od innych deweloperów aplikacji. Jest za to identyfikator telefonu, nadany przez Google Play Service, co często pozwala zidentyfikować osobę.
Zobacz: Badanie: YouTube zbiera dane jak opętany, ale jest coś gorszego
Same statystyki używania aplikacji nie budzą niepokoju. Problemem są metadane rozmów i SMS-ów. Google zbiera bowiem czas trwania rozmów i hashe (SHA256) treści wiadomości. Zwykle taki skrót tekstu uważa się za nie do odszyfrowania, ale w przypadku krótkich wiadomości tekstowych teoretycznie jest to wykonalne. Choć na pewno nie jest to główny cel zbierania tych informacji. W połączeniu z numerami telefonów Google może odtworzyć sobie model tego, kto z kim się komunikował i w jaki sposób. Dość wspomnieć, że te aplikacje są instalowane fabrycznie na większości telefonów z Androidem. Niewielu użytkowników instaluje zewnętrzne apki do podstawowej komunikacji.
Aplikacje Google na Androidzie znów mają łatwiej. Nie wiemy, jaką przewagę miałyby dać im te dane i czy mogą być wykorzystane w innych usługach Google. Nie chcę tu wyciągać pochopnych wniosków, ale nie wygląda to dobrze.
Polityka prywatności Google informuje, że owszem, niektóre dane są zbierane w celu ochrony przed oszustwami, by zapewnić synchronizację kontaktów i inne usługi Google. Nie ma jednak żadnych szczegółów – co, po co i z której apki jest wysyłane. To wygląda na naruszenie RODO i nie zdziwię się, jeśli Google zapłaci kolejną karę w UE. Tu jednak trzeba pamiętać, że mamy do czynienia jedynie z analizą techniczną. Prawnicy mogą mieć na ten temat zupełnie inne zdanie.
Zobacz: Google zbiera dane rywali, by ulepszać własne aplikacje
Douglas Leith oczywiście skontaktował się z Google, a w swojej publikacji zaproponował kroki, które Google mógłby podjąć. Jak dotąd Google zgodził się na kilka z nich. Niebawem Android powinien pokazywać informację o tym, że dzwoniąc czy wysyłając SMS, korzystasz z aplikacji dostarczonej przez Google. Ponadto będziemy wyraźnie informowani o tym, że włączona została ochrona antyspamowa, która wymaga dostępu do połączeń i że można ją wyłączyć. Aplikacje będą też zbierać mniej wrażliwych informacji. W aplikacji do SMS-owania pojawi się wyłącznik zbierania danych, ale Google zostawił sobie furtkę i nie przestanie zbierać „niezbędnych” danych.
Google zapewnia też, że chętnie współpracuje ze środowiskiem naukowym i nie będzie ignorować podobnych publikacji. Przy tym na pewno nie powie nam, jakie dane i po co zbiera.
Źródło zdjęć: Shutterstock
Źródło tekstu: Douglas Leith, Trinity College Dublin