Мобильные приложения Google для совершения звонков и отправки SMS для устройств на базе операционной системы Android уличили в сборе широкого спектра пользовательских данных. Накопление и отправка весьма чувствительных сведений на серверы разработчика осуществляются без явного информирования пользователя. Сервисы не запрашивают разрешение на подобные операции и не дают возможности запретить их выполнение.
Согласно исследовательской работе под названием «Какие данные отправляют в Google “Телефон Google” и “Google сообщения” для Android?» (What Data Do The Google Dialer and Messages Apps on Android Send to Google) профессора информатики Дугласа Лейта (Douglas Leith) из Тринити-колледжа (Дублин), мобильные приложения «Google сообщения» (Google Messages) и «Телефон Google» (Google Dialer) делятся со службами Google Play Services Clearcut и Firebase Analytics сведениями об общении пользователей.
Среди передаваемой Google Messages информации, по словам автора исследования, хеш текста сообщения, позволяющий установить связь между участниками переписки. Данные, которые отправляет Google Dialer включают время начала вызова, длительность, номера телефонов участников разговора.
Помимо этого, Google имеет доступ к сведениям о некоторых привычках пользования упомянутыми приложениями, включая продолжительность и временные отметки начала/завершения сессии. Отказаться от такого рода слежки тоже нельзя.
Как отмечает The Register, программы Google для обмена сообщения и совершения телефонных звонков используются на более чем 1 млрд устройств по всему миру. На некоторых моделях смартфонов эти приложения могут быть предустановлены производителем. Это касается, в частности, новых гаджетов компаний Samsung, Xiaomi и Huawei.
Оба приложения, будучи предустановленными на мобильник, должным образом не информируют его владельца о политике конфиденциальности, невзирая на то, что сторонних разработчиков ПО под Android Google это делать обязывает. Вместо этого корпорация в описании этих приложений (в Google Play Market) приводит ссылку на веб-страницу, где изложена общая для всех ее сервисов политика конфиденциальности.
Приложение «Google сообщения» генерирует хеш с помощью функции SHA256 на основе текста сообщения и временной отметки. Затем фрагмент полученного кода (усеченное 128-битное значение) пересылается на серверы служб Google Play Services Clearcut и Google Firebase Analytics. Получить сообщение, предварительно хешированное, в исходном виде – непростая задача, однако Лейт считает, что она не является невыполнимой для Google.
«Коллеги мне рассказали, что да, в принципе это возможно, – заявил специалист в разговоре с The Register. – Хеш содержит часовую отметку времени, так что понадобилось бы сгенерировать хеши для всех комбинаций временных отметок и целевых сообщений, а затем сравнивать их с наблюдаемым хешем на предмет совпадения. Я думаю, это выполнимо в случае с короткими сообщениями, учитывая современные вычислительные мощности».
Аналогичным образом приложение «Телефон Google» поступает с данными о звонках, совершаемых пользователем.
В работе Лейта говорится, что службы Google Play раскрывают факт сбора данных, необходимых для обеспечения безопасности и защиты пользователя от мошенников, поддержания работоспособности API и определенных функций, в частности, синхронизации контактов. Однако причины заинтересованности в накоплении сведений о содержимом переписки и истории телефонных переговоров своих клиентов Google не уточняет.
В конце марта 2021 г. CNews сообщил со ссылкой другую работу Лета о том, что мобильные ОС, а также предустановленные приложения отправляют данные на серверы Apple и Google даже в том случае, если владелец устройства запретил это делать или никогда не пользовался приложением. Причем Google собирает примерно в 20 раз больше данных с мобильных устройств, чем Apple.
В марте 2020 г. CNews писал о проблемах с текстовыми сообщениями в Google Messages. Пользователи различных Android-гаджетов рассказывали о случаях искажения текста SMS, перепутанном отправителе, а также периодических непредвиденных «вылетах» приложения, порой приводящих к потере всех текстовых сообщений.
В ноябре 2021 г. Лейт уведомил Google о выводах своего исследования, после чего у него состоялось несколько разговоров с техническим директором Google Messages, касающихся возможных изменений в приложении.
Из девяти рекомендаций по улучшению программы, упомянутых в работе Лейта, Google согласилась реализовать шесть. Представитель Google подтвердил изданию The Register данную информацию.
В числе принятых Google в работу идей: прекращение сбора информации о номере телефона отправителя в Google Messages; отказ от ведения журнала событий, связанных со звонками сервисом Firebase (касается обоих приложений); более четко доносить до пользователя информацию о том, что сервисы определения номера и защиты от спама включены на его устройстве и способах их деактивации; отказ (там, где это возможно) от привязки собранных данных к постоянному идентификатору Android ID.
По словам Лейта, Google, в частности, планирует добавить в Messages переключатель, который позволит пользователю отказаться от передачи некоторых собираемых по умолчанию данных. Тем не менее, это никак не повлияет на накопление сведений, которые в корпорации считают совершенно необходимыми.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.