Ирландский специалист в сфере ИБ Дуглас Лейт выяснил, что приложения Google Dialer и Google Messages передают на серверы компании информацию о звонках и отправленных SMS. При этом пользователей ни о чём не уведомляют.
Google Dialer («Google Телефон») — это интерфейс для проведения телефонных звонков. В приложении есть список контактов, история вызовов и номеронабиратель. Утилита Google Messages («Google Сообщения») позволяет отправлять и принимать сообщения по стандартам SMS и MMS, а с недавнего времени поддерживает и RCS (Rich Communication Service).
По данным Google Play, обе программы насчитывают свыше 1 млрд установок. Некоторые производители, например Samsung и Xiaomi, ставят на свои смартфоны такое ПО по умолчанию.
Google Messages при отправке или получении SMS фиксирует время события, телефонный номер отправителя и часть сообщения, переформатированного в хэш по алгоритму SHA256. По этой информации можно определить, какие два контакта связывались.
Алгоритмы хэширования спроектированы так, чтобы по ним нельзя было прочесть исходное послание. Однако, уверяют специалисты, с учётом сегодняшних вычислительных мощностей нетрудно частично восстановить данные.
Скажем, при совершении звонка приложение Google Dialer зафиксировало время начала разговора и его продолжительность. Хотя сама беседа не записывалась, этого достаточно, чтобы понять, кто с кем общался.
Информация отправляется на серверы «корпорации добра» через два канала аналитики — Google Play Services Clearcut и Firebase Analytics. У пользователей нет возможности отказаться от такой процедуры.
Google исправит ситуацию?
О найденной проблеме приватности Дуглас Лейт сообщил в Google. Корпорация намерена предпринять несколько шагов для устранения ситуации:
пересмотр процедуры первого запуска приложения с указанием ссылок на политику конфиденциальности;
прекращение сбора номера телефона и хэша текста сообщений;
прекращение регистрации событий в Firebase Analytics;
привязка данных к временным, а не постоянным идентификаторам смартфона.
Как отмечает ирландский исследователь, даже если IT-гигант откажется от сбора информации, часть данных всё ещё будет пересылаться в компанию. «Это первое исследование конфиденциальности сервисов Google, и это только верхушка айсберга», — констатирует Лейт.