Questo articolo è stato aggiornato per chiarire che Google Messaggi trasmette un hash SHA256 parziale, consentendo di determinare il contenuto del messaggio solo nel caso di testi brevi.
Cosa hai bisogno di sapere:
- Un nuovo studio ha rilevato che le app Messaggi e Telefono inviavano silenziosamente messaggi e informazioni sulle chiamate a Google.
- Entrambe le app di comunicazione non hanno ottenuto il consenso dell’utente né hanno offerto agli utenti l’opportunità di rinunciare, violando potenzialmente il GDPR dell’UE.
- Le nuove scoperte sono state rivelate da un professore di informatica al Trinity College di Dublino.
In quello che potrebbe essere l’ennesimo caso di violazione della privacy dei dati, è stato scoperto che le app Messaggi e Telefono di Google inviavano segretamente messaggi di testo e registri delle chiamate ai suoi server.
Secondo un documento di ricerca pubblicato da Douglas Leith, professore di informatica al Trinity College di Dublino, le app di messaggistica e dialer di Google hanno raccolto i dati delle comunicazioni degli utenti senza avvisarli (tramite The Register). In effetti, ciò ha privato gli utenti della possibilità di rinunciare alla raccolta dei dati.
“I dati inviati da Google Messaggi includono un hash del testo del messaggio, consentendo il collegamento di mittente e destinatario in uno scambio di messaggi”, afferma il documento. “I dati inviati da Google Dialer includono il tempo e la durata della chiamata, consentendo ancora una volta il collegamento dei due telefoni impegnati in una telefonata”.
Va notato che Messaggi invia solo un valore a 128 bit dell’hash del messaggio al server di Google. Tuttavia, Leith ritiene che mentre gli hash sono difficili da invertire, alcuni dei contenuti possono ancora essere determinati nel caso di messaggi brevi.
“I colleghi mi hanno detto che sì, in linea di principio è probabile che sia possibile”, ha detto Leith a The Register. “L’hash include un timestamp orario, quindi comporterebbe la generazione di hash per tutte le combinazioni di timestamp e messaggi di destinazione e il confronto di questi con l’hash osservato per una corrispondenza – penso fattibile per messaggi brevi data la moderna potenza di calcolo”.
Nell’ambito del processo sono stati raccolti anche i numeri di telefono, nonché i registri delle chiamate in entrata e in uscita. Queste informazioni sono state quindi trasferite ai server di Google tramite il servizio di registrazione Clearcut di Google Play Services e il servizio Firebase Analytics.
Secondo il documento, nessuna delle app di Google ha una politica sulla privacy che spiega quali dati raccoglie. Questo è, ironia della sorte, un requisito rigoroso per le app di terze parti sul Play Store.
Per essere onesti, Google Play Services chiarisce agli utenti che raccoglie determinati dati a fini di sicurezza e prevenzione delle frodi. Tuttavia, non è in gran parte chiaro il motivo per cui la raccolta dei dati include il contenuto dei messaggi e i registri delle chiamate.
Molti dei migliori telefoni Android, tra cui la serie Samsung Galaxy S22 e la gamma Google Pixel, sono precaricati con l’app Messaggi di Google. L’app Telefono, nel frattempo, è l’app dialer predefinita su diversi modelli di marchi cinesi come Xiaomi e Realme.
Ciò significa che entrambe le app sono installate su milioni di dispositivi venduti in tutto il mondo. A causa dell’enorme volume della loro portata, le ultime scoperte dovrebbero essere un grave problema di privacy per le persone che usano queste app.
Leith ha presentato a Google un elenco di consigli per le modifiche, inclusa l’aggiunta di politiche sulla privacy delle app a entrambe le app che indicano chiaramente quali dati vengono raccolti e perché.
Finora Google ha implementato sei articoli dei nove consigli di Leith. Questi includono l’aggiunta di un collegamento all’informativa sulla privacy dei consumatori di Google. Ma è necessario fare più lavoro.