Google Messaggi e Telefono: troppi i dati condivisi secondo una nuova ricerca

Le applicazioni Google Messaggi e Google Telefono, comunemente installate sui dispositivi Android, hanno raccolto e inviato dati alla società di Mountain View senza alcun preavviso e senza la preventiva raccolta dello specifico consenso di ciascun utente.
È ciò che sostiene il professor Douglas J. Leith (Trinity College di Dublino, Irlanda) in uno studio accademico appena pubblicato online sottolineando che entrambe le app sono utilizzate su circa 1 miliardo di dispositivi a livello mondiale.

Leith non è nuovo a questo tipo di verifiche: in passato aveva confrontato i dati che Android e iOS inviano costantemente a Google ed Apple durante il normale funzionamento. Nel 2020, invece, il docente universitario aveva concentrato la sua attenzione sui dati che i browser Web trasmettono agli utenti.

Senza offrire alcuna possibilità di opt-out le due app di Google avrebbero inviato informazioni al servizio Google Play Services Clearcut Logger e a Firebase Analytics.
“I dati inviati da Google Messaggi includono un hash del testo di ogni messaggio: esso permette di collegare mittente e destinatario in uno scambio di comunicazioni“, si legge nella ricerca. “I dati inviati da Google Telefono includono l’ora e la durata della chiamata permettendo di nuovo il collegamento dei due telefoni impegnati in una conversazione. Anche i numeri di telefono sono inviati a Google“.

Gli hash sono progettati per essere difficili da invertire ma nel caso di messaggi brevi, secondo Leith, potrebbe essere possibile recuperare parte del contenuto del messaggio.

Leith insiste sul fatto che Google chiede agli sviluppatori di terze parti massima attenzione in tema di policy sulla privacy arrivando anche a bloccare la distribuzione delle app che non rispettano le regole. Di contro, però, sempre secondo il professore, Google Messaggi e Telefono mancano di policy “ad hoc” in cui vengono spiegati quali dati sono raccolti e come sono utilizzati.
Inoltre, quando è stata fatta una richiesta attraverso Google Takeout per ottenere il download di tutti i dati dell’account, le informazioni fornite non includevano i dati di telemetria.

Il docente irlandese ha inviato le sue osservazioni a Google intorno a novembre 2021 e ha confermato di aver avuto diversi colloqui con l’azienda al fine di risolvere le problematiche individuate.

Il documento contiene nove raccomandazioni avanzate da Leith e sei modifiche che Google ha già applicato o prevede di apportare nel breve termine. I cambiamenti che Google ha accettato includono i seguenti:

• Rivedere il flusso di informazioni che viene mostrato all’installazione delle app in maniera tale che gli utenti siano consapevoli della politica sulla privacy applicata da Google.
• Interrompere la raccolta del numero di telefono del mittente, dell’ICCID della scheda SIM e degli hash dei testi dei messaggi inviati/ricevuti attraverso Google Messaggi.
• Interruzione della registrazione degli eventi relativi alle chiamate in Firebase Analytics.
• Per i dati di telemetria Google utilizzerà un identificativo meno longevo possibile anziché collegarlo all’ID Android persistente a sua volta riconducibile a uno specifico utente.
• Rendere chiaro quando l’ID del chiamante e la protezione contro lo spam sono attivati e come possono essere disattivati.

Nell’app Google Messaggi sarà inserita anche un’opzione per bloccare la raccolta di dati, fatta eccezione per le informazioni che l’azienda fondata da Larry Page e Sergey Brin ritiene essenziali per il funzionamento dell’applicazione.

Google ha raccolto positivamente le eccezione sollevate da Leith e i portavoce della società hanno aggiunto che la società è sempre disposta a collaborare per migliorare il funzionamento dei suoi prodotti e servizi. Il professore di Dublino, però, “rincara la dose” e annuncia nuove verifiche sul funzionamento della piattaforma Play Services.
Leith spiega che i dati trasmessi a Google Play Services contengono l’identificativo univoco (ID Android) che spesso può essere collegato alla vera identità di una persona. I dati non sono quindi affatto anonimizzati e “sappiamo molto poco su quali informazioni vengono usate da Play Services e per quale scopo. Questo studio è il primo a far luce su questo aspetto ma è solo la punta dell’iceberg“, ha concluso il docente accademico.