Η Google αρχίζει να καταγράφει δεδομένα από τη στιγμή που ενεργοποιείται μια συσκευή
Το Google Chrome ετοιμάζεται να φέρει μια σημαντική αλλαγή στον τρόπο που γίνεται η παρακολούθηση των χρηστών. Σύντομα, οι χρήστες θα δουν μια γενική ειδοποίηση που τους επιτρέπει να απορρίψουν τα cookies μέσα στο πιο δημοφιλές πρόγραμμα περιήγησης παγκοσμίως. Ωστόσο, για να εκμεταλλευτούν ορισμένα από τα νέα μέτρα προστασίας, ίσως χρειαστεί να χρησιμοποιήσουν τη λειτουργία ανώνυμης περιήγησης. Παρά τις εξελίξεις αυτές, μια νέα ανησυχητική αποκάλυψη αφορά τους κατόχους Android συσκευών, οι οποίοι φαίνεται ότι θα εξακολουθήσουν να παρακολουθούνται, ανεξαρτήτως των αλλαγών στο Chrome.
Έρευνα που πραγματοποιήθηκε από το Trinity College του Δουβλίνου αποκαλύπτει ότι η Google αρχίζει να καταγράφει δεδομένα από τη στιγμή που ενεργοποιείται μια συσκευή Android. Αυτό γίνεται μέσω «cookies, μοναδικών αναγνωριστικών και άλλων πληροφοριών που αποθηκεύονται αυτόματα», χωρίς να απαιτείται καμία ενέργεια από τον χρήστη. Σύμφωνα με τους ερευνητές, «δεν υπάρχει μηχανισμός συγκατάθεσης για την αποθήκευση αυτών των δεδομένων και οι χρήστες δεν έχουν δυνατότητα εξαίρεσης». Επισημαίνουν επίσης πως «αυτή είναι η πρώτη φορά που γίνεται λεπτομερής καταγραφή των cookies και των δεδομένων που συλλέγονται από τις προεγκατεστημένες εφαρμογές της Google».
Η καταγραφή αυτών των δεδομένων λαμβάνει χώρα ακόμα και εάν ο χρήστης δεν ανοίξει ποτέ τις προεγκατεστημένες εφαρμογές, ενώ η έρευνα επισημαίνει ότι δεν υπάρχει τρόπος απενεργοποίησης αυτής της διαδικασίας. Αυτό έρχεται σε αντίθεση με την προσέγγιση που ακολουθεί η Google στο Chrome, όπου οι χρήστες αποκτούν περισσότερο έλεγχο στη χρήση των cookies παρακολούθησης. Οι εφαρμογές που συμμετέχουν σε αυτή τη διαδικασία περιλαμβάνουν το Play Store και τις υπηρεσίες Google Play, κάτι που εντείνει τις ανησυχίες, ειδικά μετά τις αποκαλύψεις για την εφαρμογή SafetyCore, η οποία φέρεται να εγκαταστάθηκε σιωπηλά σε σχεδόν όλες τις Android συσκευές τους τελευταίους μήνες. Ο κοινός παρονομαστής σε όλα αυτά είναι η έλλειψη διαφάνειας.
Ένα ακόμα ανησυχητικό στοιχείο είναι ότι, σύμφωνα με τους ερευνητές, σε αντίθεση με το SafetyCore, αυτή η μορφή παρακολούθησης δεν μπορεί να απενεργοποιηθεί. Έχω επικοινωνήσει με την Google για να λάβω επίσημη τοποθέτηση σχετικά με τα ευρήματα της μελέτης και ενδεχόμενες οδηγίες για το αν υπάρχει τρόπος εξαίρεσης από αυτή την πρακτική. Διαφορετικά, ίσως η μόνη λύση για τους χρήστες που ανησυχούν για την ιδιωτικότητά τους να είναι η μετάβαση σε διαφορετικό λειτουργικό σύστημα.
Η έρευνα του Trinity εντόπισε cookies που καταγράφουν την προβολή διαφημίσεων και τα κλικ, σε συνδυασμό με το Android ID – ένα μοναδικό αναγνωριστικό που αντιστοιχεί στη συσκευή και στον χρήστη. Παρότι υπάρχουν συμβουλές που προτείνουν την επαναφορά ή την απενεργοποίησή του, καθώς και τη διαχείριση των συνηθισμένων cookies παρακολούθησης, οι ερευνητές επισημαίνουν ότι «δεν ζητείται ούτε παρέχεται καμία συγκατάθεση για την αποθήκευση αυτών των δεδομένων, οι σκοποί της συλλογής δεν διευκρινίζονται και δεν υπάρχει επιλογή εξαίρεσης». Εντυπωσιακό είναι ότι μεγάλο μέρος αυτών των δεδομένων αποθηκεύεται ακόμα και μετά από επαναφορά εργοστασιακών ρυθμίσεων, χωρίς ο χρήστης να έχει ανοίξει καμία εφαρμογή της Google, γεγονός που καταδεικνύει ότι δεν συλλέγονται ως απάντηση σε κάποια υπηρεσία που έχει ζητηθεί συνειδητά.
Είναι σημαντικό να διατηρούμε μια ρεαλιστική προσέγγιση στα συγκεκριμένα ευρήματα. Έχει επισημανθεί εδώ και χρόνια ότι τα smartphones είναι σχεδιασμένα με τρόπο που επιτρέπει τη συνεχή συλλογή δεδομένων και ότι απαιτούνται αλλαγές στις ρυθμίσεις για τη βελτίωση της ιδιωτικότητας. Το βασικό ζήτημα είναι η ενημέρωση των χρηστών. Επιπλέον, προκύπτει το ερώτημα πώς μπορεί να περιοριστεί η παρακολούθηση από το ίδιο το λειτουργικό σύστημα και τις εγγενείς υπηρεσίες του, πέρα από τον έλεγχο που παρέχεται για εφαρμογές τρίτων.
Ο καθηγητής Doug Leith από το Trinity College δήλωσε στο Irish Tech News ότι «όλοι γνωρίζουμε πως η συγκατάθεσή μας είναι απαραίτητη πριν ένας ιστότοπος αποθηκεύσει cookies διαφήμισης και παρακολούθησης κατά την επίσκεψή μας», αλλά υπογράμμισε πως «τα cookies που αποθηκεύονται από εφαρμογές έχουν λάβει πολύ λιγότερη προσοχή από αυτά που αφορούν ιστοσελίδες, εν μέρει επειδή είναι πιο δύσκολο να εντοπιστούν, και μια πιο εμπεριστατωμένη μελέτη τους είναι κάτι που έπρεπε να έχει γίνει εδώ και καιρό».
Είναι δύσκολο να δούμε ότι αυτό, με την έλλειψη ελέγχου, είναι πολύ διαφορετικό – σίγουρα τότε πρέπει να είναι εξίσου λάθος. Η επιστροφή της Google στο δακτυλικό αποτύπωμα δικαιολογήθηκε με βάση τις νέες τεχνολογίες «διατήρησης της ιδιωτικής ζωής» που μας δίνουν μεγαλύτερη προαιρετικότητα ως προς το τι μπορούν και τι δεν μπορούν να κάνουν τα τηλέφωνά μας. Φυσικά, είναι κρίσιμο να γνωρίζουμε τι πρέπει να περιορίσουμε.
Η μελέτη της Trinity εμβαθύνει στα θολά νερά της νομοθεσίας και των κανονισμών για τα δεδομένα, αν και η έκθεση είναι μια « τεχνική μελέτη, όχι νομική, και [αυτοί] δεν έχουν νομικά προσόντα». Παρ’ όλα αυτά, αναφέρει, «η αποθήκευση δεδομένων που παρατηρούμε από την Google εγείρει προφανή ερωτήματα σχετικά με την οδηγία της ΕΕ για την προστασία της ιδιωτικής ζωής στην ηλεκτρονική επικοινωνία και ίσως και τους κανονισμούς προστασίας δεδομένων GDPR». Αυτό προκύπτει από το γεγονός ότι όλες οι μετρήσεις δεδομένων πραγματοποιήθηκαν στην Ιρλανδία, η οποία εμπίπτει στις εν λόγω προστασίες.
«Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες«, σημειώνει η έκθεση, “αναφέρεται μερικές φορές ως ”νόμος για τα cookies». «Αναγνωρίζει ότι οι συσκευές των χρηστών των δικτύων ηλεκτρονικών επικοινωνιών και οι τυχόν πληροφορίες που είναι αποθηκευμένες στις συσκευές τους αποτελούν μέρος της «ιδιωτικής σφαίρας» τους και ότι απαιτούν προστασία», η οποία “περιορίζει την αποθήκευση δεδομένων σε ένα ακουστικό, δηλώνοντας ότι ”ένα πρόσωπο δεν πρέπει να χρησιμοποιεί ένα δίκτυο ηλεκτρονικών επικοινωνιών για να αποθηκεύσει πληροφορίες ή να αποκτήσει πρόσβαση σε πληροφορίες που είναι ήδη αποθηκευμένες στον τερματικό εξοπλισμό ενός συνδρομητή ή χρήστη, εκτός εάν: α) ο συνδρομητής ή ο χρήστης έχει δώσει τη συγκατάθεσή του για τη χρήση αυτή και β) στον συνδρομητή ή τον χρήστη έχουν παρασχεθεί σαφείς και περιεκτικές πληροφορίες σύμφωνα με τους νόμους περί προστασίας δεδομένων, οι οποίες: i) είναι τόσο εμφανώς εμφανείς όσο και εύκολα προσβάσιμες και ii) περιλαμβάνουν, χωρίς περιορισμό, τους σκοπούς της επεξεργασίας των πληροφοριών. ‘ Εξαιρέσεις επιτρέπονται όταν η αποθήκευση γίνεται «για τον αποκλειστικό σκοπό της πραγματοποίησης της μετάδοσης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών» ή «είναι απολύτως αναγκαία για την παροχή μιας υπηρεσίας της κοινωνίας της πληροφορίας που ζητήθηκε ρητά από τον συνδρομητή ή τον χρήστη».»
Σε απάντηση σε αυτό, η Google μου είπε ότι «η παρούσα έκθεση προσδιορίζει έναν αριθμό τεχνολογιών και εργαλείων της Google που στηρίζουν τον τρόπο με τον οποίο προσφέρουμε χρήσιμα προϊόντα και υπηρεσίες στους χρήστες μας. Ο ερευνητής αναγνωρίζει στην έκθεση ότι δεν είναι νομικά καταρτισμένος και δεν συμφωνούμε με τη νομική του ανάλυση. Το απόρρητο των χρηστών αποτελεί ύψιστη προτεραιότητα για το Android και δεσμευόμαστε να συμμορφωνόμαστε με όλους τους ισχύοντες νόμους και κανονισμούς περί απορρήτου».
Αυτή δεν είναι η πρώτη φορά που οι Trinity και Leith αναφέρουν τις πρακτικές δεδομένων της Google. Το 2022, προειδοποίησαν ότι «τα δεδομένα που αποστέλλονται στην Google από τις εφαρμογές Google Messages και Google Dialer [ενημερώνουν] την Google όταν πραγματοποιούνται/λαμβάνονται μηνύματα/τηλεφωνικές κλήσεις… Τα δεδομένα που αποστέλλονται από το Google Dialer περιλαμβάνουν τον χρόνο και τη διάρκεια της κλήσης, επιτρέποντας και πάλι τη σύνδεση των δύο συσκευών που συμμετέχουν σε μια τηλεφωνική κλήση. Οι αριθμοί τηλεφώνου αποστέλλονται επίσης στη Google».
Και το 2021, η ομάδα μελέτησε «την κίνηση τηλεμετρίας που στέλνουν οι σύγχρονες συσκευές iOS και Android πίσω στους διακομιστές της Apple και της Google και διαπίστωσε ότι η Google συλλέγει περίπου 20 φορές περισσότερα δεδομένα τηλεμετρίας από τις συσκευές Android απ’ ό,τι η Apple από το iOS». Κάπως ανησυχητικά, όπως ανέφερε τότε το The Record, «τόσο το iOS όσο και το Google Android μεταδίδουν τηλεμετρία, παρά το γεγονός ότι ο χρήστης επιλέγει ρητά την απενεργοποίηση αυτής της [επιλογής]».
Στη μελέτη, ο Leith σημειώνει ότι «οι εφαρμογές Google Play Services και Google Play store που μελετήθηκαν εδώ χρησιμοποιούνται ενεργά από εκατοντάδες εκατομμύρια ανθρώπους. Ενημερώσαμε την Google για τα ευρήματά μας και καθυστερήσαμε τη δημοσίευση για να της επιτρέψουμε να απαντήσει. Έδωσαν μια σύντομη απάντηση, δηλώνοντας ότι δεν θα σχολιάσουν τις νομικές πτυχές (δεν τους ζητήθηκε να σχολιάσουν αυτές). Δεν επεσήμαναν τυχόν λάθη ή λανθασμένες δηλώσεις (τις οποίες τους ζητήθηκε να σχολιάσουν). Δεν απάντησαν στην ερώτησή μας σχετικά με το αν σκοπεύουν να προβούν σε αλλαγές στα cookies κ.λπ. που αποθηκεύονται από το λογισμικό τους».
Αυτή είναι μια δύσκολη περίοδος για την Google στο μέτωπο της παρακολούθησης και η τελευταία έκθεση θα αναδείξει μερικά από όσα συμβαίνουν κάτω από την επιφάνεια στις συσκευές και τις πλατφόρμες που όλοι χρησιμοποιούμε. Όπως έχω σχολιάσει πολλές φορές πρόσφατα, είναι ζωτικής σημασίας η Google και οι άλλοι πάροχοι mainstream πλατφορμών να αυξήσουν τα επίπεδα διαφάνειας, καθώς η ισορροπία αυτή τη στιγμή γυρίζει προς τη λάθος κατεύθυνση. Είχαμε κάνει καλά βήματα στην προστασία της ιδιωτικής ζωής, αλλά αυτό φαίνεται να έχει αρχίσει να ταλαντεύεται, και όχι μόνο για την Google.
Σύμφωνα με τον Leith, αυτή η τελευταία έρευνα είναι μια «κλήση αφύπνισης» για τις ρυθμιστικές αρχές δεδομένων ώστε να «αρχίσουν να προστατεύουν σωστά» τους χρήστες των τηλεφώνων Android. «Οι υπηρεσίες Google Play και το κατάστημα Google Play είναι προεγκατεστημένα σχεδόν σε κάθε τηλέφωνο Android. Αυτή η μελέτη δείχνει ότι αποθηκεύουν σιωπηλά διαφημιστικά και άλλα cookies και δεδομένα παρακολούθησης στα τηλέφωνα των ανθρώπων. Η Google δεν ζητάει καμία συγκατάθεση γι’ αυτό και δεν υπάρχει τρόπος να μπλοκαριστούν αυτά τα cookies».
