Google slepeni vāc un uzglabā lielu apjomu datu par Android ierīču īpašniekiem. Tas attiecas arī uz tiem, kas nekad nav izmantojuši uzņēmuma lietotnes.
Dublinas Trinitijas koledžas profesora Dž. Dž. Leita pētījums pirmo reizi dokumentē, ka pat neinstalētas Google lietotnes bez brīdinājuma seko lietotāju personiskajiem datiem, nesniedzot viņiem pat iespēju no tā atteikties.
Pētījuma ietvaros tika analizēti sīkfaili, identifikatori un citi dati, kas ir saglabāti mobilajās ierīcēs ar Android operētājsistēmu. Bez lietotāju brīdinājuma informāciju no viņu ierīcēm vāc Google Play servisi un pats Google Play veikals, kā arī citas Google lietotnes.
Analīze tika veikta, izmantojot Google Pixel 7 mobilo ierīci ar Android 14 un jaunākajām Google Play Services un Google Play Store versijām.
Pētījuma rezultāti atklāja, ka Google serveri sūta un saglabā vairākus izsekošanas identifikatorus uz mobilajām ierīcēm uzreiz pēc rūpnīcas iestatījumu atiestates, pat pirms lietotāji sāk mijiedarboties ar jebkuru Google lietotni.
Starp šiem identifikatoriem ir sīkfaili, kas paredzēti reklāmas analītikai, saites, kas seko reklāmu skatījumiem un klikšķiem, kā arī pastāvīgie ierīces identifikatori, kas spēj atpazīt gan pašu ierīci, gan lietotāju. Visvairāk satrauc, ka pirms jebkuras no šiem datiem saglabāšanas netiek pieprasīta lietotāju piekrišana.
Pētījuma autori norāda, ka tas pārkāpj ES datu aizsardzības noteikumus. Konkrēti, Elektroniskās komunikācijas privātuma direktīvu un iespējams arī GDPR
Vispārējā datu aizsardzības regula - tā ir ES regula par privātpersonu datu aizsardzību.
Kā darbojas Google izsekošanas mehānismi
Pētnieki atklāja vairākas konkrētas izsekošanas tehnoloģijas, tostarp Google Android ID — ierīces pasta identifikatoru, kas ir uzglabāts vairākās vietās vienlaikus, tostarp shared_prefs/Checkin.xml, un tiek nodots gandrīz visās savienojumos ar Google serveriem. Tas tiek uzglabāts nolūkā atiestatīt uz rūpnīcas iestatījumiem un saistīts ar lietotāja kontu Google pieslēgšanās laikā.
Reklāmas analītikas sīkfaili DSID tiek sūtīti uz googleads.g.doubleclick.net un uzglabāti Google Play servisu datu mapē. Kad lietotājs veic meklēšanu Google Play veikalā, “sponsorētie” rezultāti satur izsekošanas saites, kas pēc klikšķināšanas informē Google par saitēm, kas iegūst meklēšanas rezultātus ar iebūvētajām reklāmas izsekošanas saitēm
Pētījumā arī dokumentēta Google NID sīkfailu izmantošana vairākās lietotnēs, servera tokenu izmantošana A/B testēšanai un dažādu autorizācijas tokenu izmantošana, kas faktiski neuzkrītoši reģistrē lietotājus vairākos Google servisā.
Bija novērots arī savienojums ar Firebase Analytics serveriem, kas pārraida datus par lietotāju mijiedarbību.
“Pašlaik lietotājiem ir gandrīz nekāda kontrole pār datiem, kas tiek glabāti Android ierīcēs Galvenās mīkstināšanas metodes - atspējot Google Play Services vai Google Play Store lietotni, bet lielākajai daļai lietotāju tās ir nepraktiskas opcijas," skaidro profesors Leits
Avots: cyber security news
Komentāri (0)
Šobrīd nav neviena komentāra