in

Messaggi, app dialer, SMS inviati, informazioni sulle chiamate a Google • Il Registro

Le app Google “Messaggi” e “Dialer” per dispositivi Android hanno raccolto e inviato dati a Google senza notifica e consenso esplicito e senza che sia stata offerta la possibilità di rinunciare, il che potrebbe violare le leggi europee sulla protezione dei dati.

Secondo un documento di ricerca, “Quali dati inviano a Google il dialer di Google e le app di messaggistica su Android?” [PDF]di Douglas Leith, professore di informatica al Trinity College di Dublino, Google Messaggi (per i messaggi di testo) e Google Dialer (per le telefonate) hanno inviato dati sulle comunicazioni degli utenti al servizio di registrazione Clearcut di Google Play Services e al servizio Firebase Analytics di Google.

“I dati inviati da Google Messaggi contengono un hash del corpo del messaggio, che consente di collegare mittente e destinatario in uno scambio di messaggi”, afferma il giornale. “I dati inviati da Google Dialer includono il tempo e la durata della chiamata, che a sua volta consente il collegamento dei due telefoni coinvolti in una telefonata. Anche i numeri di telefono vengono inviati a Google”.

Anche l’ora e la durata delle interazioni di altri utenti con queste app vengono trasmesse a Google. E Google non offre alcun modo per opporsi a questa raccolta di dati.

Google Messaggi (com.google.android.apps.messaging) è installato su oltre un miliardo di telefoni Android. È offerto da AT&T e T-Mobile su telefoni Android negli Stati Uniti e viene preinstallato sui telefoni più recenti di Huawei, Samsung e Xiaomi. Allo stesso modo, Google Dialer (aka Phone by Google, com.google.android.dialer) ha la stessa portata.

Entrambe le versioni preinstallate di queste app, afferma il documento, mancano di politiche sulla privacy specifiche per le app che spieghino quali dati vengono raccolti, qualcosa che Google richiede agli sviluppatori di terze parti. E quando è stata effettuata una richiesta tramite Google Takeout per i dati dell’account Google associati alle app utilizzate per i test, i dati forniti da Google non includevano i dati di telemetria osservati.

Entrambe le app hanno attualmente collegamenti alle norme sulla privacy dei consumatori di Google su Google Play che non sono specifiche dell’app e non sono necessariamente evidenti a coloro che ricevono le app preinstallate.

Dall’app Messaggi, Google prende il contenuto del messaggio e un timestamp, genera un hash SHA256, che è l’output di un algoritmo che mappa il contenuto leggibile dall’uomo su un digest alfanumerico, quindi trasmette parte dell’hash, in particolare un 128 troncato – Valore in bit per il logger Clearcut di Google e Firebase Analytics.

Gli hash sono progettati per essere difficili da annullare, ma nel caso di messaggi brevi, Leith ritiene che alcuni di essi potrebbero essere annullati per recuperare parte del contenuto del messaggio.

“Mi è stato detto dai colleghi che in linea di principio dovrebbe essere possibile”, ha detto Leith in un’e-mail Il registro oggi. “L’hash contiene un timestamp orario, quindi gli hash dovrebbero essere generati per tutte le combinazioni di timestamp e messaggi di destinazione e confrontarli con l’hash osservato per una corrispondenza: fattibile, penso, per messaggi brevi data la moderna potenza di calcolo”.

L’app dialer registra anche le chiamate in entrata e in uscita con l’ora e la durata della chiamata.

Come osserva il documento, Google Play Services rivela che alcuni dati vengono raccolti a fini di sicurezza e prevenzione delle frodi, per mantenere le API di Google Play Services e i servizi principali e per fornire servizi Google come segnalibri e sincronizzazione dei contatti. Tuttavia, la raccolta del contenuto del messaggio o dei chiamanti e dei destinatari delle chiamate non è dettagliata o spiegata. Come afferma il giornale, “vengono forniti pochi dettagli sui dati effettivamente raccolti”.

“Sono stato sorpreso di vedere che questi dati venivano raccolti da queste app di Google”, ha detto Leith.

Leith ha condiviso le sue scoperte con Google lo scorso novembre e ha affermato di aver avuto diverse discussioni con il direttore tecnico di Google per Google Messaggi sulle modifiche proposte.

Il documento descrive in dettaglio nove raccomandazioni di Leith e sei modifiche che Google ha apportato o prevede di apportare per affrontare le preoccupazioni sollevate nel documento. Modifiche che Google ha accettato di includere:

  • Ridisegnato il flusso di onboarding dell’app per notificare agli utenti che stanno utilizzando un’app Google e collegarsi alle norme sulla privacy dei consumatori di Google.
  • Impedisci a Google Messaggi di raccogliere il numero di telefono del mittente, l’ICCID 5 SIM e un hash del corpo del messaggio inviato/ricevuto dall’origine del registro CARRIER_SERVICES.
  • Interrompi la registrazione degli eventi relativi alle chiamate in Firebase Analytics sia da Google Dialer che da Messaggi.
  • Spostare più raccolta di dati di telemetria all’utilizzo dell’identificatore disponibile meno durevole quando possibile, anziché associarlo all’ID persistente Android di un utente.
  • Chiarisci chiaramente quando l’ID chiamante e la protezione antispam sono abilitati e come disabilitarli, esplorando anche i modi per utilizzare meno informazioni o informazioni sfocate per le funzionalità di sicurezza.

Google lo ha confermato Il registro lunedì che i resoconti del giornale sulle sue interazioni con Leith sono accurati. “Accogliamo con favore collaborazioni – e feedback – da accademici e ricercatori, compresi quelli del Trinity College”, ha affermato un portavoce di Google. “Abbiamo lavorato in modo costruttivo con questo team per rispondere ai loro commenti e continueremo a farlo”.

Il documento solleva dubbi sul fatto che le app di Google siano conformi al GDPR, ma avverte che le conclusioni legali sono fuori questione per un’analisi tecnica. Abbiamo chiesto a Google se pensavano che le loro app fossero conformi agli obblighi del GDPR, ma non abbiamo ricevuto risposta.

Abbiamo lavorato in modo costruttivo con questo team per rispondere ai loro commenti e continueremo a farlo

Leith ha affermato che non è chiaro se gli impegni di Google rispondano pienamente alle preoccupazioni che ha espresso.

“In particolare, affermano che introdurranno un’opzione nell’app Messaggi che consentirà agli utenti di disattivare la raccolta dei dati, ma che questa disattivazione non coprirà i dati che Google ritiene ‘essenziali’, il che significa che continueranno a raccogliere alcuni dati anche se.” gli utenti disattivano”, ha detto. “Nei miei test, avevo già disabilitato la raccolta dei dati di Google disabilitando l’opzione di utilizzo e diagnostica di Google nelle impostazioni del telefono, e quindi i dati che stavo segnalando erano già stati segnalati da Google come una sorta di essenziale. Penso che dovremo solo aspettare e vedere”.

Leith ha affermato che ci sono due problemi principali relativi al servizio Google Play installato su quasi tutti i telefoni Android al di fuori della Cina.

“Il primo è che i dati di registro inviati da Google Play Services sono contrassegnati con l’ID Android di Google, che spesso può essere collegato alla vera identità di un individuo, quindi i dati non sono anonimi”, ha affermato. “In secondo luogo, sappiamo molto poco su quali dati vengono inviati da Google Play Services e per quale scopo. Questo studio è il primo a far luce su di esso, ma è solo la punta di un iceberg.” ®

OneWeb, sostenuto dal Regno Unito, prevede di utilizzare razzi SpaceX concorrenti dopo il divieto russo | satelliti

Il principe Andréj SARÀ al servizio funebre del principe Filippo… e poi lascerà la vita pubblica