Android : Google vous espionne avec "Messages" et "Phone" sans votre permission

[Parisien_entraide]

2022-03-23_104412.jpg

On est à mi chemin entre les problèmes de vie privée et la sécurité informatique, néanmoins je pose cela là

Fait amusant, je me souvenais avoir vu passer cette news il y a quelques jours et voulant effectuer une recherche pour la retrouves j'ai essayé divers moteurs, et SEUL celui de google ne faisait pas état de cette information dans les résultats de recherches en rubrique 'Actualités" (les mêmes mots clés étaient utilisés)


LES FAITS

Les applications de SMS Google Messages, et d’appels, Google Téléphone, ont récolté et envoyé des données concernant les communications des utilisateurs aux services Google Play, ainsi qu’au service de Google, Firebase Analytics sans aucun consentement de leurs utilisateurs, qui n'ont pas été informés de ce partage d'informations, violant potentiellement le RGPD

2022-03-23_105614.jpg

Google Messages et Google Téléphone sont des applications utilisées pour les fonctions d’échanges de SMS et d’appels.
Elles sont pré-installées sur des millions d’appareils, notamment les smartphones Pixel et Samsung Galaxy.
La collecte a été constaté également sur les marques Xiaomi, Huawei, Realme, LineageOS mais pas e/OS

Google Messages (com.google.android.apps.messaging) est installé sur plus d'un milliard d'appareils Android.
Il est proposé par AT&T et T-Mobile sur les téléphones Android aux États-Unis et est préchargé sur les smartphones récents de Huawei, Samsung et Xiaomi.
De même, Google Dialer (également connu sous le nom de Phone by Google, com.google.android.dialer) est concerné


La découverte émane du professeur Douglas Leith du Trinity College de Dublin
https://www.scss.tcd.ie/doug.leith/priv ... sapps.pdf


QU'EST CE QUI EST ENVOYE ?

Quelles données les applications Google Dialer et Messages sur Android envoient-elles à Google ?
Les données en question sont de différents types :

- Les numéros de téléphone , ainsi que les hachages de messages cryptés SHA-256 .
- Le moment et la durée (horodatage)des interactions des autres utilisateurs avec ces applications ont également été transmis à Google via les journaux des appels passés et reçus


Ces données aideraient Google à connecter l'expéditeur et le destinataire du message et/ou les deux appareils en cours d'appel.
En bref : QUI parle à QUI ? via les métadonnées

Le Professeur Leith, cependant, estime que pour les messages courts, il est possible d' inverser le hachage pour révéler le contenu

Dans aucune des deux applications Google, il n'y a de politiques de confidentialité qui expliquent quelles données ont été collectées , au point que ces données ne sont même pas disponibles via Google Takeout pour télécharger celles associés à votre compte Google.
https://www.malekal.com/utiliser-google ... te-google/

Cela semble en fait être des "données fantômes". Et c'est là que résiderait la violation potentielle du RGPD.

Le paradoxe de l'histoire c'est que Google exige un document de politique de confidentialité pour les applications tierces.
Cela fait bien, cela rassure les utilisateurs et fait passer Google pour "un gentil" contre les tiers qui eux essaieraient de voler nos données



ALORS ?

Google a confirmé les accusations, est bien conscient du problème et ce depuis.... Plus de 4 mois, informé par Douglas Leith, et a répondu
"Nous accueillons favorablement les partenariats - et les commentaires - des universitaires et des chercheurs, y compris ceux du Trinity College"

Cela fait langue de bois et on sent que cela les dérange


L’article de Douglas Leith soulève surtout le problème de la conformité au RGPD : Google doit logiquement être en train de se pencher sur la question.

On voit là les limites...
Il a été demandé à Google s'il pensait que ses applications respectaient les obligations du RGPD, mais il n'y a eu aucune réponse.



Il y a Six changements que Google a déjà apportés ou prévoit d'apporter pour répondre aux préoccupations soulevées .
Les modifications que Google a accepté d'inclure :

- Réviser le flux d'intégration de l'application afin que les utilisateurs soient informés qu'ils utilisent une application Google et reçoivent un lien vers la politique de confidentialité des consommateurs de Google.
- Arrêt de la collecte du numéro de téléphone de l'expéditeur par la source de journal CARRIER_SERVICES, de l'ICCID 5 SIM et d'un hachage du texte du message envoyé/reçu par Google Messages.
- Arrêt de la journalisation des événements liés aux appels dans Firebase Analytics à partir de Google Dialer et de Messages.
- Déplacer plus de collecte de données de télémétrie pour utiliser l'identifiant le moins durable disponible dans la mesure du possible, plutôt que de le lier à l'identifiant Android persistant d'un utilisateur.
- Indiquer clairement quand l'identification de l'appelant et la protection anti-spam sont activées et comment elles peuvent être désactivées, tout en cherchant un moyen d'utiliser moins d'informations ou d'informations floues pour les fonctions de sécurité.




CE QU'iL FAUT RETENIR


Dougla Leith reste néanmoins circonspect

"En particulier, ils disent qu'ils introduiront une bascule dans l'application Messages pour permettre aux utilisateurs de se retirer de la collecte de données, mais que cette désactivation ne couvrira pas les données que Google considère comme" essentielles ", c'est-à-dire qu'ils continueront à collecter certaines données même lorsque les utilisateurs se désengagent", a-t-il déclaré. "

"Lors de mes tests, j'avais déjà désactivé la collecte de données Google en désactivant l'option "Utilisation et diagnostics" de Google dans les paramètres du combiné, et donc les données que j'ai signalées étaient déjà jugées essentielles par Google."


Leith a déclaré qu'il y avait deux problèmes plus importants liés au service Google Play, qui est installé sur presque tous les téléphones Android en dehors de la Chine.

"La première est que les données de journalisation envoyées par les services Google Play sont étiquetées avec l'identifiant Google Android qui peut souvent être lié à la véritable identité d'une personne - de sorte que les données ne sont pas anonymes", a-t-il déclaré.

"La seconde est que nous savons très peu de choses sur les données envoyées par les services Google Play et dans quel(s) but(s). Cette étude est la première à jeter un peu de lumière là-dessus, mais ce n'est que la pointe de l'iceberg. .


_______

A mon humble avis ce qui se trouve en dessous de la pointe de l'iceberg est facile à trouver
Ce n'est pas la première fois que Google est pris la main dans le sac avec les données aspirées et conservées pour on ne sait qui

L'exemple le plus connu étant celui des google cars parcourant tous les pays, les villes, chaque rue, et collectant au passage, en plus des photos, tout ce qui traine au niveau réseau dont Wi fi (Adresse mac, type, etc) le tout combiné avec les coordonnées GPS et nom des SSID privés et publics
Cela permet via l'identification des matériels et recoupements (adresse), de savoir qui est qui ou utilise quoi (failles matérielles et donc mot de passe par défaut associé par ex)
Il y avait également enregistrement des paquets de données envoyés sur les réseaux non protégés.
Dans l'absolu, le positionnement du SSID WiFi ne permet pas de remonter a l'identité de l'internaute si le FAI ne diffuse pas une table de correspondance (mais on oublie la confidentialité différentielle, qui est une évolution de l'informatique ubiquitaire et les recoupements)
Suite à cette révélation, Google a bien effacé quelques données personnelles capturées mais a refusé de céder sur les SSID et positions enregistrées,

Le vice-président à l’ingénierie et à la recherche de Google Alan Eustace avait précisé :
"Nous n’avons jamais utilisé ces données dans le moindre produit de Google" et avait mis cela sur le compte d'un bout de code ancien, datant de 2006
Seulement ce bout de code faisait très bien son boulot
Ensuite si il s'agissait d'un bug, et pas d'une fonction volontaire, pourquoi alors refuser l'effacement des données ?

Une phrase toute en nuance mais facile à décrypter car basée sur les toujours mêmes éléments de langage depuis des années
Effectivement il est possible que Google n'ait pas utilisé ces données (si on essaie de les croire) , mais d'autres entités, OUI, et on peut entrevoir une ou des réponses en se posant juste la question : A qui cela pourrait servir ?

C'est une formulation courante (le mensonge par omission) que l'on retrouve couramment chez les anglos saxons, dont les écrits, les déclarations ont à la source des cabinets d'avocats
Dans la mentalité anglo saxonne, Il est également plus facile de s'excuser que de demander la permission.
On est dans le pas vu pas pris, pris pendu.
Si "Pris", on s'excuse publiquement, on pleure, on se flagelle et ensuite on bénéficie d'une absolution.
Toujours est il que suite à cette découverte, "normalement", les voitures de Google Street View ne collecteront plus aucune donnée sur les réseaux Wi-Fi. Pas même les adresses MAC et SSID, du moins.. En Europe


Google est une société internationale de publicités sur Internet de plusieurs milliards de dollars. Traquer des individus, c'est ce qu'ils font. C'est le métier qu'ils se sont inventé.
Les gens l'oublient, et les Services de Renseignement US ne peuvent pas passer à côté de cette manne (ce serait idiot de leur part)

C'est pour cela que les scandales se suivent et que Google s'en moque (idem pour Meta ex Facebook et d'autres)
Et ce n'est pas les montants ridicules des amendes qui vont remédier à cela

Sur le site : https://www.malekal.com/tag/google/

[Parisien_entraide]

Pour rappel dans l'actualité récente (2021)

https://www.lemonde.fr/pixels/article/2 ... 08996.html

L’ONG de défense de la vie privée NOYB avait attaqué Google à propos de son système de tracking publicitaire, l’Android Advertising Identifier.

Il s’agit d’un identifiant unique attribué à chaque smartphone Android. Celui-ci est utilisé par le système ainsi que par des entreprises pour diffuser de la publicité ciblée.

Cela permet de pister des centaines de millions d'utilisateurs en Europe

Devant l’ampleur de la situation, l’ONG NOYB a saisi la Commission nationale de l’informatique et des libertés (CNIL). Le cadre législatif européen exige le consentement de chaque utilisateur avant d’opérer un tel pistage. Cependant, Google ne demande le consentement d’aucun internaute avant d’installer son système Android Advertising Identifier (AAID) sur les smartphones, ce qui va à l’encontre de la directive du 12 juillet 2002, relative à l'informatique, aux fichiers et aux libertés.

« L’étendue de cette affaire est ahurissante. Quasiment tous les utilisateurs Android », a déclaré Stefano Rossetti, avocat spécialisé dans la protection de la vie privée chez NOYB.

Les plus de 300 millions d’utilisateurs d’Android dans l’Union européenne « semblent être affectés par cette technologie ».

La société ajoute que « Non seulement Google installe l’AAID sans le consentement de l’utilisateur, mais il refuse également aux utilisateurs d’Android la possibilité de le supprimer ». Il peut être réinitialisé, mais un nouvel identifiant sera généré.


- On pourrait également rappeler le pistage des utilisateur de Chrome, même en mode privé
Google avait répondu, considérant cela comme des allégations, que la navigation privée ne signifiait pas qu’un utilisateur soit invisible.(ce qui n'est pas faux) https://www.malekal.com/activer-naviga ... ateur-web/
Néanmoins avec Chrome version 76 ce n'est pas ce qui avait été annoncé et c'est pour cela que même de nos jours certains internautes utilisent la navigation privée en pensant être moins pistés par Google et par les sites internet visités, alors que ce n’est pas le cas.

- Sur les systèmes ANDROID, Google collecte 1,3 TO de données toutes les 12 heures
“L'IMEI du téléphone, le numéro de série du matériel, le numéro de la carte SIM, le numéro de téléphone etc. sont partagés avec Apple et Google” détaille Doug (Chercheur en sécurité informatique au Trinity College, un centre de recherche de l’université de Dublin (Irlande),
Les données sont transférées toutes les 4 minutes 30 secondes sur des serveurs à distance sans que l'utilisateur n'en ait conscience.
Google aspire les données venant de Chrome, la barre de recherche Google, YouTube, Google Docs, Safetyhub, Google Messenger et l'horloge système.
Google s'était défendu en indiquant que les données collectées ne l'étaient que pour le bien des utilisateurs