Cтандартні програми Android викрили у шпигунстві за 1 млрд користувачів

Google, смартфон, програма
Фото: unsplash.com | Google на смартфоні

Google Dialer і Google Messages збирають різні дані про людей, завдяки чому Google може легко ідентифікувати будь-якого користувача.

Програми, встановлені на пристрої з операційною системою Android, надсилають дані користувача компанії Google. Такого висновку у своєму дослідженні дійшов Дуглас Лейт, професор інформатики Триніті Коледжу в Дубліні (Ірландія).

Він стверджує, що стандартні Google Dialer (додаток для телефонних дзвінків) та Google Messages (додаток для обміну SMS-повідомленнями) надсилають дані до служби ведення журналу Google Play Services Clearcut та служби Google Firebase Analytics. Зокрема, Google Dialer передає номери телефонів співрозмовників, а також час та тривалість дзвінків. Зі свого боку Google Messages надає хеш тексту повідомлення — зашифрований масив даних, який дозволяє зв'язати відправника та одержувача. Крім того, Google збирає інформацію про час та тривалість взаємодій з цими програмами.

Google, Google Dialer, Google Messages Fullscreen
Програми Google Dialer та Google Messages
Фото: Скриншот

Дані, що надсилають в Google, позначає ідентифікатор Android ID телефону, який пов'язаний з обліковим записом користувача смартфона і часто вказує на реальну особу, яка розмовляє телефоном або бере участь у SMS-листуванні. Наприклад, для створення облікового запису Google потрібен робочий номер телефону, і якщо людина сплатила за програму в магазині Google Play або використовує Google Pay, її обліковий запис Google також пов'язаний з її банківським рахунком. Так компанія може встановити, ким насправді є співрозмовники.

У Google Dialer за замовчуванням включена опція перегляду ідентифікатора абонента, що викликає, і спаму, в межах якої програма відправляє номер телефону під час кожного вхідного виклику разом з часом розмови. Об'єднавши дані з телефонів, з яких телефонують, можна встановити номери обох співрозмовників. Дослідник звернув увагу, що надсилання вхідних телефонних номерів у Google не є обов'язковим для фільтрації дзвінків. Наприклад, антифішингова служба Google Safe Browsing для веббраузерів забезпечує перевірку URL-адрес для завантаження лише часткових хешів URL-адрес на сервери Google — ці часткові хеші використовують для завантаження списку сайтів із чорного списку, який потім можна локально порівняти з відповідною URL-адресою .

Дуглас Лейт пише, що зробив запит до сервісу Google Takeout про надання даних свого облікового запису, пов'язаних із Google Messages та Google Dialer. Компанія надіслала запитану інформацію, проте там не було даних телеметрії, які виявив сам дослідник.

Більшість сучасних програм збирають деякі дані, однак користувачі мають право відмовити в зборі інформації. Таке право їм гарантує закон. Але у випадку з встановленими програмами Google така можливість відсутня. Власникам смартфонів навіть не пропонують ознайомитися з політикою конфіденційності (документи можна знайти, але для цього потрібно глибоко поритися в меню), а також не повідомляють, яку інформацію збирають і для чого. Водночас компанія вимагає дотримання політики конфіденційності від сторонніх додатків, що розміщують у фірмовому онлайн-магазині.

За даними магазину Google Play, Google Messages встановлено більш ніж на 1 мільярд телефонів, у США мобільні оператори AT&T і T-Mobile нещодавно оголосили, що всі телефони Android у їхніх мережах використовуватимуть цю програму. Її також встановлюють на деякі смартфони Samsung Xiaomi та Huawei. Програма Google Dialer також встановлена приблизно на мільярд мобільних телефонів.

"Ми проінформували Google про наші висновки і відклали публікацію на кілька місяців, щоб поспілкуватися з ними. У зв'язку з цим звітом Google повідомляє, що вони планують внести кілька змін до своїх програм Messages і Dialer", — наголосив Дуглас Лейт у своїй статті.

Раніше писали, що співробітники Google починають покидати Росію на тлі загрози блокування YouTube. За даними джерел, компанія намагається захистити свій персонал у Москві, який налічував 244 особи.

Повідомляли також, що Google Pay блокує користувачів із Донецької та Луганської областей. Під санкції потрапили навіть переселенці та люди, зареєстровані на підконтрольній Україні території.