谷歌在未经同意的情况下收集Android用户的短信和通话数据
新的研究表明,谷歌一直在收集关于你通过电话应用程序拨打的电话以及在你的安卓手机上交换的短信的极其详细的数据。Google使用这些Android应用程序将大量数据导出到其服务器,并且在没有通知用户或征得用户同意的情况下这样做。这种行为可能会违反某些市场(如的GDPR政策)法律规定的Android应存在的隐私保护。它可以被视为监视用户。
Google可能有正当理由希望从手机中收集通话和消息数据以改进这些服务。它可能还希望提供可能改善用户隐私的功能。但这并没有改变这样一个事实,即谷歌在没有获得用户明确许可的情况下积累了所有的通话和文本数据。
长期使用Android的用户已经知道他们在使用Google的“免费”操作系统时所做的权衡。他们用自己的数据为Google创建的所有软件付费。然而,Android不断地以一种或另一种方式跟踪用户。这次可能与位置数据无关。但新的消息和电话隐私影响同样重要。他们出现的时候,谷歌一直试图让用户相信用户隐私很重要。
但是,虽然Android用户自愿同意谷歌跟踪他们并收集可以转化为广告的个人数据,但他们从未明确告诉谷歌它可以收集敏感的电话和文本数据。
新的启示来自都柏林三一学院计算机科学教授DouglasLeith的一篇研究论文(通过TheRegister)。
“谷歌消息发送的数据包括消息文本的哈希,允许在消息交换中链接发送者和接收者,”该论文说。“谷歌拨号器发送的数据包括通话时间和持续时间,再次允许连接正在通话的两部手机。电话号码也会发送给谷歌。”
哈希会扰乱Google获得的实际内容,使其几乎无法访问。在这种情况下,Google可能会获取您在“信息”中发送和接收的文本的较短哈希版本。但它看不到实际文本,因为它们是字母数字乱码。尽管如此,只要有足够的计算资源和时间,有人可能会解码一些较短的消息。
Leith对TheRegister说了这么多。“同事告诉我,是的,原则上这是可能的,”他说。“哈希包括一个每小时的时间戳,因此它将涉及为时间戳和目标消息的所有组合生成哈希,并将这些与观察到的哈希进行比较以进行匹配——我认为对于具有现代计算能力的短消息来说是可行的。”
同样,电话应用程序会记录来电和去电、时间和通话时长。
这些应用程序不会披露这些数据收集做法。但谷歌要求Android开发者告知用户他们的应用程序收集的数据类型。
有人可能会争辩说,来自电话和消息应用程序的所有这些元数据将允许谷歌跟踪Android用户。每个应用程序都有大约十亿用户,这使得数据收集更加令人印象深刻。
Google在电话和消息应用程序中提供了一些可能需要此类数据跟踪的智能功能。电话应用程序可以防止垃圾电话,但要做到这一点,它需要收集数据,如9to5Google报告的那样。
谷歌还解释说它使用文本哈希来确保传入和传出的消息以正确的顺序出现。此外,消息收集可能有助于Google保护一次性密码消息。同样,Google可能需要SIM卡ID数据来支持GoogleFi功能。
Google如何解决MessagesandPhone应用程序的隐私问题?
去年11月,Leith将他的发现通知了Google。他就此事与公司进行了多次交谈。研究人员提供了9条建议,可以改善依赖库存电话和消息应用程序进行通信的Android用户的隐私。谷歌已经实施了其中的六个。
自2月以来发布的应用程序更新已开始为电话和消息部署修复程序。
现在,谷歌将告知用户这些数据收集做法。用户可以在一定程度上选择退出。然而,该公司将继续从手机中获取通话和文本数据。
“特别是,他们说他们将在Messages应用程序中引入一个切换功能,以允许用户选择退出数据收集,但这种选择退出不会涵盖谷歌认为‘必要’的数据,即他们将继续收集一些数据,甚至当用户选择退出时,”研究人员告诉TheRegister。“在我的测试中,我已经通过禁用手机设置中的谷歌‘使用和诊断’选项来选择退出谷歌数据收集,因此我报告的数据已经被谷歌判断为在某种程度上是必不可少的。我认为我们将不得不拭目以待。”
Leith的研究仅涵盖电话和消息应用程序。但谷歌可能不得不解决Android中的其他数据收集问题。研究人员在GooglePlayService应用程序中发现了两个这样的问题。
“首先是谷歌播放服务发送的日志数据带有谷歌安卓ID标签,该ID通常可以与一个人的真实身份相关联——因此这些数据不是匿名的,”他说。“第二个问题是,我们对GooglePlay服务正在发送哪些数据以及用于什么目的知之甚少。这项研究是第一个对此有所了解的研究,但这只是冰山一角。”
最后,目前尚不清楚新披露的Android隐私问题在法律法规方面意味着什么,尤其是在等市场。
标签: