«Сообщения» и «Телефон» в Android шпионят за пользователями и сохраняют журналы

Google уже знает о проблеме и частично внёс исправления (или собирается внести) — обнаруживший её профессор связался с корпорацией

«Сообщения» и «Телефон» в Android шпионят за пользователями и сохраняют журналы

Приложения Google Messages и Google Dialer, известные в русской локализации как «Сообщения» и «Google Телефон», отправляют данные о пользовательских коммуникациях в службы Google Play Services Clearcut Logger и Google Firebase Analytics. К такому выводу пришёл профессор информатики из Тринити-колледжа в Дублине Дуглас Лейт (Douglas Leith) в своём исследовании, передаёт The Register.

«Данные, отправленные „Сообщениями”, включают хэш текста сообщения, позволяющий связывать отправителя и получателя в обмене сообщениями», — говорится в документе. «Данные, отправленные „Google Телефоном”, включают время и продолжительность звонка, что снова позволяет связать два телефона, задействованных в звонке. Номера телефонов также отправляются в Google».

К тому же приложения собирают время и продолжительность взаимодействия с ними, и разработчики не предлагают никакого способа отказаться от этого.

Приложение «Сообщения» генерирует SHA256-хэш на основе содержания сообщений и временной метки, после чего передаёт его часть, а именно 128-битное усечённое значение, в службы Google Play Services Clearcut и Google Firebase Analytics. Хэши генерируются таким образом, что их трудно расшифровать, но Лейт уверен, что некоторые из них всё же можно раскрыть и восстановить часть сообщения.

«Коллеги сказали мне, что да, в принципе, это возможно. Хэш включает в себя часовую метку времени, так что для этого придется генерировать хэши для всех комбинаций временных меток и целевых сообщений, а затем сравнивать их с наблюдаемым хэшем на предмет совпадения — я думаю, это осуществимо для коротких сообщений, учитывая современные вычислительные мощности», — заявил Лейт.

«Google Телефон» тоже регистрирует входящие и исходящие звонки, а также время и их продолжительность.

В исследовании Лейта отмечает: Google Play Services раскрывают, что некоторые данные собираются для обеспечения безопасности и предотвращения мошенничества, для обслуживания API Google Play Services и основных служб, а также для предоставления таких служб Google, как синхронизация закладок и контактов. Однако совершенно не детализируется и не объясняется сбор данных о содержании сообщений или о звонящих и получателях звонков. Как отмечается в статье, «мало подробностей о фактически собранных данных».

«Сообщения» и «Телефон» в Android шпионят за пользователями и сохраняют журналы

Проблема заключается не столько в слежке, сколько в том, что Google о ней не сообщает должным образом. Будучи предустановленными на многие смартфоны (в том числе новинки от Samsung, Xiaomi и даже Huawei), эти приложения не отображают политику конфиденциальности (хотя это требуется от сторонних приложений), от которой, по европейскому законодательству, должна быть возможность отказаться. Вместо этого на страницах программ в Google Play есть ссылка на общую политику конфиденциальности пользователей Google — она не зависит от приложения и её существование может быть вовсе не очевидно в случае с предустановленными приложениями.

По словам Лейта, он сообщил корпорации о своих выводах в ноябре прошлого года, после чего провёл несколько бесед с техническим директором по развитию «Сообщений» о предлагаемых изменениях. Компания подтвердила это изданию The Register. В своей исследовательской работе профессор описал 9 рекомендаций — 6 из них Google уже реализовала или планирует сделать. Они включают:

  • пересмотр процесса адаптации приложений, чтобы пользователи были уведомлены о том, что они используют приложение Google, и получили ссылку на политику конфиденциальности Google;
  • прекращение сбора номера телефона отправителя в источнике журнала CARRIER_SERVICES, 5 SIM ICCID и хэша текста отправленного/полученного сообщения в Google Messages;
  • прекращение регистрации событий, связанных со звонками, в Firebase Analytics из Google Dialer и Messages;
  • переключение сбора телеметрических данных на использование наименее долговечного идентификатора, где это возможно, вместо привязки к постоянному идентификатору пользователя Android ID;
  • разъяснение того, когда идентификатор вызывающего абонента и защита от спама включены и как их можно отключить, а также рассмотрение возможности использования меньшего количества информации или нечеткой информации для функций безопасности.


Материалы по теме:

  • 5 функций MIUI от Xiaomi, скопированные в чистый Android. Китайцы гениальны
  • Google возвращает гамбургерное меню Android, и это ужасно
  • Забавные случаи, когда компании троллили друг друга. Чаще доставалось Apple
  • Обзор Android 13 Developer Preview 1: что изменилось
  • Почему Xiaomi — лучший выбор для тех, кто хочет перепрошиваться. 4 причины




Источник trashbox.ru
338

İlgili statyalar

Популярное приложение Google Maps назвали опасным для смартфонов

Сервисе Google Maps позволяет устройствам собирать о вас слишком много личных данных. По данным Google, пользователь может полностью запретить картам собирать данные на смартфоне, выбрав соответствующий режим «Инкогнито». Но при этом функциональность сервиса заметно сокращается. Так называемый конфиденциальный режим подразумевает, что пользователь, например, теряет возможность работать с офлайн-картами, смотреть истории местоположений или делиться картами с друзьями с помощью функции совместного использования. Вот и получается: либо Google Maps собирает большое количество данных о вашей личности, либо вы лишаетесь многочисленных полезных опций в сервисе, приложения, которые ставят пользователя в подобную позицию выбора, пора начать удалять. Это же относится к Google Maps. Геолокация в современных смартфонах стала…

Как покупать и обновлять приложения в Google Play после блокировки в России

Инструкция довольно простая и займёт не больше двух минут. Она заключается в смене региона платёжного профиля С 5 мая 2022 года россияне больше не могут покупать приложения в Google Play и обновлять ранее купленные игры и программы. Благо проблема решаема — необходимо сменить платёжный профиль аккаунта Google. В этой статье рассматривается Турция по определённым причинам (о них в конце), но вы можете выбрать любую другую страну. 💡 Эта инструкция нужна прежде всего для того, чтобы можно было обновлять и скачивать уже купленные ранее приложения. Для приобретения новых простая смена платёжного профиля не подойдёт — нужна ещё и зарубежная банковская карта.…

5 неожиданностей, с которыми сталкиваешься без сервисов Google уже в первую неделю

Перенос контактов, нехватка приложений, вредоносные APK и проблемы с платежами — рассказываю о личном опыте. На поверку не всё так страшно! Android плотно ассоциируется с Google и соответствующими сервисами. Однако изначально система открытая и непривязанная ни к чьим приложениям. Именно поэтому существуют модели, продвигаемые без сервисов Google. Сразу вспоминаются Volla Phone, PinePhone и, например, NitroPhone — о них на Трешбоксе есть отдельный материал. Однако приведенные примеры — это единичные модели для гиков от мелких компаний или стартапов, которые не предлагают сопоставимые сервисы на замену. Huawei в этом смысле держится особняком. Компания уже не первый год выпускает смартфоны и планшеты без Google…

Не переводите сайты кнопкой Google Переводчика — могут украсть пароль

Проблема кроется в самом сервисе для перевода — она сохраняется и во встроенной функции браузера Chrome Если сравнивать современность и условный период 20 лет назад, то сейчас повседневная жизнь стала гораздо проще и комфортнее — вряд ли кто-то не согласится с тем, что именно Google внесла огромный вклад в это. Сервисы «корпорации добра» помогают нам практически в каждом аспекте жизни, с ними даже не нужно учить иностранные языки — достаточно открыть страницу зарубежного сайта в браузере Chrome, как сразу же появится кнопка Google Translate с предложением показать переведённый вариант страницы. Но всё не может быть так просто — при переводе…

В России замедлились YouTube и сервисы Google: как это исправить

Тот случай, когда исправить ситуацию можно всего за три шага — на всё про всё уйдёт не больше минуты В последние дни пользователи из России отмечают замедление работы YouTube и некоторых сервисов Google. Скорее всего, причина связана с отключением компанией серверов Google Global Cache — специального оборудования для оптимизации нагрузки на мощности провайдеров и ускорения доступа к веб-приложениям. Казалось бы, собственноручно вернуть прежнюю скорость и стабильность нельзя, но находчивые пользователи обнаружили, по всей видимости, рабочий способ решения проблемы. ⚠️ Данный метод работает только в браузерах с поддержкой отключения протокола QUIC: в Chrome, Яндекс.Браузере, Microsoft Edge, Opera и других веб-обозревателях на основе Chromium,…