Google podle výzkumného týmu z Trinity College Dublin u svých aplikací Zprávy a Telefon od Googlu zřejmě porušuje evropské zákony na ochranu soukromí. Ve whitepaperu, který byl publikován koncem února, se totiž uvádí, že Google u obou dotčených aplikací pravidelně na své servery odesílá data, která mohou být pro spoustu uživatelů citlivá. Jedná se např. o čas a dobu trvání hovoru (včetně telefonního čísla protistrany) nebo o hash SMS zprávy, tedy o digitální otisk textu. Uživatelé Androidu o tomto sběru dat nemají ani tušení, takže jej ani nemají jak deaktivovat.
Zarážející je už samotný fakt, že obě tyto aplikace jsou předinstalovány ve více než miliardě Android telefonů, a tak je tento sběr dat provozován skutečně na globální úrovni. Google navíc u ani jedné aplikace neprozrazuje sběr dat, ani k čemu jsou data určena. Pro vývojáře třetích stran je to přitom povinnost, jinak jejich aplikace na Google Play nebudou zveřejněny!
Google na své servery zasílá všechny textovky, které jsou včetně „časového razítka“ zakódována přes hashovací funkci SHA256. Zasílána je jen část zprávy, i tak je teoreticky možné se reverzním inženýrstvím dostat k části obsahu samotné textovky. Tedy za předpokladu předvytvoření hash klíčů kombinací časových razítek a domnělých obsahů zpráv. To by pro superpočítače mohla být, zejména u krátkých zpráv, vcelku hračka.
Google sběr dat nezruší, ale jen omezí
Mnohem zarážející je však fakt, že pouhým porovnáním sesbíraných hashů může Google i u zdánlivě anonymizovaných dat určit, kdo poslal textovku komu, a to kdekoliv na světě. Stačí, když oba používají stejnou aplikaci Zprávy. Ta je přitom nasazena jako defaultní v celé řadě smartphonů, např. u Xiaomi, Hauwei a od loňského roku také u Samsungu. Vydavatelé whitepaperu komunikují od loňského listopadu s Googlem, jemuž navrhli devět nutných změn. Google připravuje nápravu, přičemž přistoupil či brzy přistoupí na pět z nich:
- Při spuštění aplikací od Googlu se zobrazí okno s odkazem na podmínky používání
- Google zastaví sběr čísla odesílatele, a zakódovaných obsahů v SMS zprávách
- Google zastaví sběr telefonních „eventů“ v aplikacích Telefon a Zprávy
- Sběr nutných dat bude navázán na identifikátory s nejméně dlouhou životností, nikoliv na trvalé Android ID
- Zobrazit uživatelům informaci o tom, že je aktivní ochrana proti spamu, a kde je možné ji deaktivovat.
I přesto, že Google již nebude potají sbírat data uživatelů (nově se bude možné ze sběru ručně odhlásit), budou na pozadí i nadále sbírána základní data „nutná pro správné fungování služeb“. A to i přesto, že sběr dat v telefonu explicitně zakážete. Google tímto chováním mohl porušit i evropská pravidla GDPR. Podle autorů studie jsou tato alarmující zjištění jen špičkou ledovce. Nikdo totiž zatím neví, zda a jaká data sdílí balík služeb GMS (Google Mobile Services), který je Androidem protkán skrz naskrz. Je tedy jasné, kterým směrem se budou ubírat další studie...
Otázka však zní, chceme vůbec vědět, co Google dělá s našimi daty? Sběr informací, ať již anonymizovaný, nebo navázaný na jedinečné Android ID, je určitě pro spoustu uživatelů negativem. Jenže, se sběrem dat, resp. s podmínkami používání a soukromí, souhlasíte už při prvním nastavování telefonu s Androidem, resp. při prvním spuštění aplikací od Googlu. Kdo z vás si přečetl kousek, nebo byť jen nahlédl, do uživatelských podmínek Androidu. Víte, s čím vším při používání Androidu souhlasíte, nebo na tlačítko Souhlasím klikáte automaticky?
Zdroj scss