Инструкция по панике: новые проколы Google с личными данными пользователей
Gmail так и хранит список всех покупок, даже если удалить всю переписку, связанную с ними. А приложения под Android так вообще делятся личными данными чуть ли не с кем попало.
В мае журналист CNBC обнаружил, что Google использует Gmail для хранения списка всех его покупок, если в какой-то момент транзакции использовался вход в Gmail или только Gmail-адрес. То есть, если вы подтвердили рецепт в аптеке с аккаунта Gmail или купили еду с доставкой, а квитанция упала в ваш Gmail, то Google хранит эту информацию у себя. Чтобы просмотреть всю историю своих покупок, достаточно перейти на страницу покупок Google.
Конечно, Google заявил, что делает это сугубо для удобства пользователей — чтобы с помощью Google Assistant было легче отслеживать покупки или изменения по их доставке, например. Причём пользователи могут удалить всю инофрмацию о покупках, удалив соответсвующие извещения в Gmail.
Скажем прямо, удалить все письма с покупками за многие годы непросто — это может занять часы или даже дни. Особенно если нет галочки «Удалить пакетом». Но что может остановить настойчивого журналиста, пусть даже его учётке на Gmail — более десяти лет? Он проделал титанический труд. Но — несмотря на заверения Google, это не сработало. И через три недели после удаления всех покупок в Gmail в списоке покупок выводились все приобретения за прошлые годы. Рецепты, доставка еды, книги, купленные на Amazon, музыка, приобретённая на iTunes, подписка на Xbox Liveот Microsoft — всё осталось, как было.
Кроме того, Google продолжает показывать покупки, которые автор эксперимента сделал совсем недавно. А удалить или отключить такую возможность технически невозможно.
Значит, разумно предположить, что Google кеширует или сохраняет эту личную информацию где-то ещё. Вне привязки к учётке Gmail.
Что же ответили в Google?
«Спасибо за сообщение о работе страницы покупок Google — мы изучим его, — ответил CNBC представитель Google. — Напоминаем, что на странице покупок вы можете просмотреть свои покупки: мы не используем какую-либо информацию из ваших сообщений Gmail для показа рекламы, включая квитанции или подтверждения по электронной почте, показанные на странице покупок».
Кроме того, группа исследователей обнаружила, что множество приложений могут определить уникальный идентификатор устройства или получить необходимые данные, например, о локации пользователя в обход системы разрешений Android.
Если пользователь отказал приложению в доступе к личным данным, то другое приложение, у которого такое согласие было, запросто может с ним может «поделиться». В том числе по причине хранения личных данных в хранилище, куда имеют доступ другие приложения. Просто потому, что у них общий комплект средств разработки — SDK. Как, например, SDK от китайского интернет-гиганта Baidu.
Ряд уязвимостей позволяют отправлять разработчикам такие данные, как уникальные MAC-адреса сетевого чипа, маршрутизатора и точки беспроводного доступа, SSID и другие. А этого достаточно, чтобы, к примеру, определить местоположение пользователя.
Некоторые из этих проблем уже решили в Android Q после того, как учёные уведомили Google об уязвимостях в ОС в сентябре 2018 года. Но обновления обезопасят только владельцев новых моделей смартфонов.
В Google отказались от детальных комментариев, но сказали, что Android Q будет по умолчанию скрывать геолокационную информацию от фотоприложений, а также будет требовать от разработчиков таких приложений, чтобы они сообщали Google Play, могут ли они получать доступ к метаданным о местоположении.
Успейте купить корпоративный пакет COSSA-2025 со скидкой!
Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.
Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.
Успейте приобрести пакет до повышения цены!