Cтандартные приложения Android уличили в шпионаже за 1 млрд пользователей

Приложения, предустановленные на устройства с операционной системой Android, отправляют пользовательские данные компании Google. К такому выводу в своем исследовании пришел Дуглас Лейт, профессор информатики Тринити-колледжа в Дублине (Ирландия).

Он утверждает, что стандартные Google Dialer (приложение для телефонных звонков) и Google Messages (приложение для обмена SMS-cообщениями) отправляют данные в службу ведения журнала Google Play Services Clearcut и в службу Google Firebase Analytics. В частности, Google Dialer передает номера телефонов собеседников, а также время и продолжительность звонков. Google Messages, в свою очередь, предоставляет хэш текста сообщения — зашифрованный массив данных, который позволяет связать отправителя и получателя. Кроме того, Google собирает информацию о времени и продолжительности взаимодействий с этими программами.

Данные, отправляемые в Google, помечаются идентификатором Android ID телефона, который связан с учетной записью пользователя смартфона и часто указывает на реальную личность человека, разговаривающего по телефону или участвующего в SMS-переписке. Например, для создания учетной записи Google требуется рабочий номер телефона, и если человек оплатил приложение в магазине Google Play или использует Google Pay, его учетная запись Google также связана с его банковским счетом. Таким образом, компания может установить, кем на самом деле являются собеседники.

В Google Dialer по умолчанию включена опция просмотра идентификатора вызывающего абонента и спама, в рамках которой приложение отправляет номер телефона при каждом входящем вызове вместе со временем разговора. Объединив данные с телефонов, с которых совершаются звонки, можно установить номера обоих собеседников. Исследователь обратил внимание, что отправка входящих телефонных номеров в Google не является обязательной для фильтрации звонков. Например, антифишинговая служба Google Safe Browsing для веб-браузеров обеспечивает проверку URL-адресов при загрузке только частичных хэшей URL-адресов на серверы Google — эти частичные хэши используются для загрузки списка сайтов из черного списка, который затем можно локально сравнить с соответствующим URL-адресом.

Дуглас Лейт пишет, что сделал запрос к сервису Google Takeout о предоставлении данных своей учетной записи, связанных с Google Messages и Google Dialer. Компания отправила запрошенную информацию, однако там не оказалось данных телеметрии, которые обнаружил сам исследователь.

Большинство современных приложений собирают некоторые данные, однако пользователи имеют право отказать в сборе информации. Такое право им гарантирует закон. Но в случае с предустановленными приложениями Google такая возможность отсутствует. Владельцам смартфонов даже не предлагают ознакомиться с политикой конфиденциальности (документы можно найти, но для этого нужно глубоко порыться в меню), а также не сообщают, какая именно информация собирается и в каких целях. В то же время, компания требует соблюдения политики конфиденциальности от сторонних приложений, размещаемых в фирменном онлайн-магазине.

По данным магазина Google Play, Google Messages установлено более чем на 1 миллиард телефонов, в США мобильные операторы AT&T и T-Mobile недавно объявили, что все телефоны Android в их сетях будут использовать это приложение. Оно также предустанавливается на некоторые смартфоны Samsung Xiaomi и Huawei. Приложение Google Dialer также установлено примерно на миллиарде мобильных телефонов.

"Мы проинформировали Google о наших выводах и отложили публикацию на несколько месяцев, чтобы пообщаться с ними. В связи с этим отчетом Google сообщает, что они планируют внести несколько изменений в свои приложения Messages и Dialer", — подчеркнул Дуглас Лейт в своей статье.

Ранее писали, что сотрудники Google начинают покидать Россию на фоне угрозы блокировки YouTube. По данным источников, компания пытается защитить свой персонал в Москве, который насчитывал 244 человека.

Сообщали также, что Google Pay блокирует пользователей из Донецкой и Луганской областей. Под санкции попали даже переселенцы и люди, зарегистрированные на подконтрольной Украине территории.