谷歌的消息和电话应用程序在未经用户同意的情况下收集用户数据并将其发送到公司的服务器,这可能违反了欧洲GDPR等隐私法。
该声明来自都柏林三一学院的计算机科学教授DouglasLeith。在一篇题为“Android上的Google拨号器和消息应用程序向Google发送哪些数据?”Leith概述了这些应用程序向Google发送的数据。
这些应用程序收集有关用户 的信息,包括消息的SHA256哈希及其时间戳(哈希是一个对信息进行加扰的过程,因此无法恢复其原始形式)、电话号码、来电和去电日志、通话时长,和通话长度。
这些信息通过GooglePlayServices的Clearcut记录器服务和FirebaseAnalytics发送给Google。此外,这些数据有助于谷歌将消息发送者、接收者或通话中的两个参与者联系起来。
尽管谷歌只接收到一个128位的消息哈希值,但Leith表示有可能反转哈希并揭示短消息的内容。
“同事告诉我,是的,原则上这是可能的,”Leith在一封电子邮件中告诉TheRegister。
“哈希包括一个每小时的时间戳,因此它将涉及为时间戳和目标消息的所有组合生成哈希,并将这些与观察到的哈希进行比较以进行匹配——我认为对于具有现代计算能力的短消息来说是可行的。”
Leith的论文还概述了谷歌的电话和消息应用程序没有隐私政策来解释他们收集的数据,尽管谷歌要求Play商店中的第三方应用程序包括隐私政策。此外,从GoogleTakeout下载数据的用户不会收到Google收集的Messages和Phone信息。
考虑到电话和消息应用程序默认安装在数百万台Android设备上,这是谷歌的大规模疏忽和对隐私的严重侵犯。
谷歌的回应
Leith于2021年11月向Google详细说明了他的发现,并详细说明了公司应采取的九个步骤来纠正该问题。Google已经进行(或计划进行)更改,您可以在下面找到它们:
拨号器和消息应用程序收集的具体数据,以及收集数据的具体目的,应在应用程序隐私政策中明确说明。
应用程序隐私政策应易于用户访问和查看,而无需先同意其他条款和条件(例如GoogleChrome的条款和条件)。在同意收集数据之前,不应记录/跟踪对隐私政策的查看。
有关用户与应用程序交互的数据,例如查看的应用程序屏幕、单击的按钮/链接、发送/接收/查看消息和电话等操作,在种类上与应用程序遥测数据不同,例如电池使用情况、内存使用情况、操作缓慢用户界面。用户应该能够选择不收集他们的交互数据。
在收集应用程序遥测数据(例如电池使用情况、内存使用情况等)时,数据应仅使用短期会话标识符进行标记,而不应使用长期持久的设备/用户标识符(如AndroidID)进行标记。
收集数据时,只应使用粗略的时间戳,例如四舍五入到最接近的小时。当前使用具有毫秒精度的时间戳的方法可能过于暴露。更好的是,使用直方图数据而不是带时间戳的事件数据,例如,发起电话呼叫时的网络连接时间直方图似乎足以检测网络问题。
收到消息时停止通过CARRIER_SERVICES日志源收集发件人电话号码,并在插入SIM时停止通过Google消息收集SIMICCID。停止收集已发送/已接收消息文本的散列。
当前的垃圾邮件检测/保护服务将传入的电话号码传输到Google服务器。这应该被一种更保护隐私的方法所取代,例如,类似于Google的安全浏览反网络钓鱼服务所使用的方法,它只将部分哈希上传到Google服务器。
应充分尊重用户选择退出“使用和诊断”数据收集的选择,即停止所有应用程序使用情况和遥测数据的收集。
谷歌的(计划中的)修复
修改应用入门流程,以便通知用户他们正在使用Google应用,并提供指向Google消费者隐私政策的链接。
停止CARRIER_SERVICES日志源收集发件人电话号码、5SIMICCID以及Google消息发送/接收消息文本的哈希。
停止在FirebaseAnalytics中从GoogleDialer和Messages记录与呼叫相关的事件。
将更多遥测数据收集转移到尽可能使用寿命最短的标识符,而不是将其链接到用户的永久AndroidID。
明确何时打开来电显示和垃圾邮件保护以及如何禁用它,同时还寻找使用更少信息或模糊信息来实现安全功能的方法。
还值得注意的是,谷歌向TheRegister证实Leith的论文是准确的,并为一些数据收集做法提供了解释。该公司表示,它收集消息哈希以检测序列错误,而电话号码收集旨在帮助改进对通过SMS发送的一次性密码(OTP)代码的自动识别。同时,FirebaseAnalytics日志记录用于衡量人们在下载应用程序后是否使用它们。
标签: