V návaznosti na nedávný článek „Stále online, stále si povídají“ jsem narazil na docela zajímavou studii výzkumníků z University of Edinburgh. Zabývá se daty, která odesílají zařízení výrobcům Android mobilních telefonů a Googlu samotnému.
Všechna testovaná zařízení vědci vymazali do továrního nastavení a při jejich inicializaci opt-outovali (nevyslyšeli) všechny „prosby“ výrobců o poskytování dat a používání jejich aplikací a specifických služeb. Telefony se testovaly v idle režimu, tzn. při minimu uživatelských interakcí a jen s výrobcem předinstalovanými aplikacemi. Přesto vědci došli k následujícímu závěru:
„We observe that Samsung, Xiaomi, Realme and Huawei all collect data from user handsets, despite the user having opted out of data collection/telemetry/analytics and making no use of services offered by these companies. This data is tagged with long-lived identifiers that tie it to the physical device, including across factory resets.“
Jeden příklad za všechny
A co to vlastě znamená? I když aktivně nepovolíte odesílání detailních informací někam ven, stejně se to děje. A to navíc tak, že jsou s vaším konkrétním zařízením spojitelné prostřednictvím různých trvalých identifikátorů (jako je např. IMEI telefonu neboli nezměnitelné číslo SIM slotu, které je unikátní pro každý mobil na světě).
Abych uvedl příklad, vezměme si běžně používanou aplikaci SwiftKey aktuálně patřící Microsoftu (a budu volně citovat ze studie, strana 9 a 10). Při každém použití SwiftKey se Microsoftu odesílají:
- jméno aplikace, která SwiftKey otevřela,
- počet zadaných znaků,
- časování celé aktivity (začátek a konec),
- použitý jazyk,
- počet napovězených slov,
- počet oprav,
- a mnoho dalších informací.
V podstatě už chybí jen přesně použité znaky a napsaná slova, a Microsoft ví… Co mu vlastně brání v některé z příštích verzí takové logování zapnout? Možná svědomí? 😊
Dočtěte se více
Pokud máte zájem o celé znění studie, najdete ho tady: https://www.scss.tcd.ie/Doug.Leith/Android_privacy_report.pdf
Pro techničtěji zaměřené čtenáře je určitě velice zajímavá část III. THE CHALLENGES OF SEEING WHAT DATA IS SENT, která poměrně detailně popisuje, jakým způsobem se podařilo sbírat a dešifrovat odesílaná data. V části V. RESULTS pak autoři podrobně shrnují, jaké informace jsou z jednotlivých zařízení odesílány.