Trinity College Dublin’deki araştırmacılar tarafından yapılan yeni bir teknik çalışma, Google’ın önceden yüklenmiş Google uygulamaları asla açılmasa bile, Android cihazlarda kapsamlı kullanıcı verilerini topladığını ve depoladığını açıkladı.
Bulgular, çerezlerin, cihaz tanımlayıcılarının ve izleme bağlantılarının kullanıcı onayı olmadan indirilip saklandığını ve önemli gizlilik endişelerini artırdığını göstermektedir.
Kullanıcı etkileşimi olmadan kalıcı izleme
Çalışma, Google Play Services, Google Play Store ve önceden yüklenen diğer uygulamaların Android cihazlarda çeşitli veri türlerini sessizce sakladığını ortaya çıkardı.
Bu, reklam analizi çerezlerini, reklamlar için bağlantıları izleme ve Google Android kimliği gibi kalıcı cihaz tanımlayıcılarını içerir.
Bu tanımlayıcılar, bir fabrika sıfırlamasından sonra ve herhangi bir açık kullanıcı etkileşimi olmasa bile, cihaz boşta olsa bile Google sunucularına iletilir.
Örneğin, Google’ın reklam analizi sisteminin temel bir bileşeni olan DSID çerezi, bir kullanıcı Google hesaplarına oturum açtıktan hemen sonra indirilir.
Bu çerez kullanıcının hesabına bağlıdır ve uygulamalar ve hizmetler arasındaki etkileşimleri izlemek için kullanılır.
Benzer şekilde, kalıcı bir cihaz tanımlayıcısı olan Google Android Kimliği, cihaz kurulumunda atanır ve Google sunucularına birden çok bağlantı içinde iletilir.
Şeffaflık ve rıza eksikliği
Çalışma, kullanıcılardan bu verileri saklamak için herhangi bir rıza aranmadığını veya kullanıcıların bir devre dışı bırakma mekanizması ile sağlanmadığını vurgulamaktadır.
Toplanan verilerin çoğu, kullanıcılar tarafından açıkça talep edilen hizmetlerin işleyişi için kesinlikle gerekli değildir.
Örneğin:
- Reklam izleme bağlantıları Google Play Store uygulaması tarafından saklanan, sponsorlu arama sonuçlarındaki kullanıcı tıklamalarını izlemek için kullanılır.
- ServerLogs çerezleriuygulama kullanımı sırasında indirilir, kullanıcı etkileşimlerini hesaplarına bağlı benzersiz tanımlayıcılarla etiketleyin.
- Deney jetonları Uygulama güncellemelerinin A/B testi için kullanılan kullanıcı bilgisi olmadan telemetri verilerinin yanında depolanır ve iletilir.
Reklam veya uygulama kullanımı ile ilgili hassas veriler bile Google’dan açık belgeler veya amaç ifadeleri olmadan toplanır.
Gizlilik düzenlemelerinin potansiyel ihlalleri
Bulgular, EPRIVECE DIREVICT ve Genel Veri Koruma Yönetmeliği (GDPR) dahil olmak üzere Avrupa Birliği (AB) gizlilik yasalarının potansiyel ihlallerini göstermektedir.
Bu yasalar uyarınca, kişisel verileri saklamadan veya işlenmeden önce açık kullanıcı izni gereklidir.
Çalışma, toplanan verilerin çoğunun cihazları ve kullanıcıları benzersiz bir şekilde tanımlamak için kullanılabileceğini ve GDPR düzenlemelerine tabi olduğunu belirtiyor.
Kullanıcılar Google Apps tarafından depolanan veriler üzerinde minimum kontrole sahiptir.
Uygulama verilerini cihaz ayarları aracılığıyla temizlemek mümkün olsa da, çerezleri seçici olarak silme veya depolamalarını tamamen önleme seçeneği yoktur.
Google Play Services veya Play Store Uygulaması Devre Dışı Bırakma İki temel veri toplama kaynağı, üçüncü taraf uygulamalarına bağımlılıkları nedeniyle çoğu kullanıcı için pratik değildir.
Araştırmacılar Google’a yayınlanmadan önce bulguları hakkında bilgi verdiler.
Ancak Google, yasal çıkarımlar hakkında yorum yapmayı veya veri toplama uygulamalarında değişikliklerin yapılıp yapılmayacağını ele almayı reddetti.
Şirket, çalışmada bildirilen teknik gözlemlere itiraz etmedi.
Bu çalışma, Android cihazlarda önceden yüklenmiş Google uygulamalarının daha önce belgelenmemiş uygulamalarına ışık tutuyor.
Kullanıcı verilerinin nasıl ele alındığı konusunda daha fazla şeffaflığın acil ihtiyacının altını çiziyor ve Apple’ın iOS gibi diğer platformlarda benzer uygulamalar hakkında soruları gündeme getiriyor.
Araştırmacılar, bu konularda daha fazla soruşturma çağrısında bulunuyor ve dünya çapında gizlilik düzenlemelerinin daha katı uygulanmasını savunuyorlar.
Bu vahiy, kullanıcıların dijital gizlilikleri konusunda uyanık kalmaları için bir hatırlatma görevi görürken, düzenleyicileri teknoloji devlerinin gizlilik yasalarına uygunluğunu incelemelerini istemektedir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.