Инструкция по панике: новые проколы Google с персональной информацией пользователей
Gmail так и хранит список всех покупок, даже если удалить всю переписку, связанную с ними. А приложения под Android так вообще делятся личными данными чуть ли не с кем попало.
В мае журналист CNBC обнаружил, что Google использует Gmail для хранения списка всех его покупок, если в какой-то момент транзакции использовался вход в Gmail или только Gmail-адрес. То есть, если вы подтвердили рецепт в аптеке с аккаунта Gmail или купили еду с доставкой, а квитанция упала в ваш Gmail, то Google хранит эту информацию у себя. Чтобы просмотреть всю историю своих покупок, достаточно перейти на страницу покупок Google.
Конечно, Google заявил, что делает это сугубо для удобства пользователей - чтобы с помощью Google Assistant было легче отслеживать покупки или изменения по их доставке, например. Причем пользователи могут удалить всю инофрмацию о покупках, удалив соответсвующие извещения в Gmail.
Скажем прямо, удалить все письма с покупками за многие годы непросто - это может занять часы или даже дни. Особенно если нет галочки «Удалить пакетом». Но что может остановить настойчивого журналиста, пусть даже его учетке на Gmail - более десяти лет? Он проделал титанический труд. Но - несмотря на заверения Google, это не сработало. И через три недели после удаления всех покупок в Gmail в списоке покупок выводились все приобретения за прошлые годы. Рецепты, доставка еды, книги, купленные на Amazon, музыка, приобретенная на iTunes, подписка на Xbox Liveот Microsoft - все осталось, как было.
Кроме того, Google продолжает показывать покупки, которые автор эксперимента сделал совсем недавно. А удалить или отключить такую возможность технически невозможно.
Значит, разумно предположить, что Google кеширует или сохраняет эту личную информацию где-то еще. Вне привязки к учетке Gmail.
Что же ответили в Google?
«Спасибо за сообщение о работе страницы покупок Google - мы изучим его, - ответил CNBC представитель Google. - Напоминаем, что на странице покупок вы можете просмотреть свои покупки: мы не используем какую-либо информацию из ваших сообщений Gmail для показа рекламы, включая квитанции или подтверждения по электронной почте, показанные на странице покупок».
Кроме того, группа исследователей обнаружила, что множество приложений могут определить уникальный идентификатор устройства или получить необходимые данные, например, о локации пользователя в обход системы разрешений Android.
Если пользователь отказал приложению в доступе к личным данным, то другое приложение, у которого такое согласие было, запросто может с ним может «поделиться». В том числе по причине хранения личных данных в хранилище, куда имеют доступ другие приложения. Просто потому, что у них общий комплект средств разработки - SDK. Как, например, SDK от китайского интернет-гиганта Baidu.
Ряд уязвимостей позволяют отправлять разработчикам такие данные, как уникальные MAC-адреса сетевого чипа, маршрутизатора и точки беспроводного доступа, SSID и другие. А этого достаточно, чтобы, к примеру, определить местоположение пользователя.
Некоторые из этих проблем уже решили в Android Q после того, как ученые уведомили Google об уязвимостях в ОС в сентябре 2018 года. Но обновления обезопасят только владельцев новых моделей смартфонов.
В Google отказались от детальных комментариев, но сказали, что Android Q будет по умолчанию скрывать геолокационную информацию от фотоприложений, а также будет требовать от разработчиков таких приложений, чтобы они сообщали Google Play, могут ли они получать доступ к метаданным о местоположении.
