Špeh v kapse: sleduje uživatele, aniž by o tom věděli

Pokud se obáváte, že vás váš telefon špehuje, sdílí vaše data a polohu, a to aniž byste o tom věděli, pak bude pro vás zjištění  prvního říjnového týdne znepokojivým čtením.

Výzkumníci ze serveru Cybernews přišli s varovnou zprávou, která popisuje skrytý tok dat, které se neustále přenášejí z nového modelu Pixel 9 na servery Googlu. A dodávají ještě významnější zjištění, nad kterým jen kroutíme hlavou: „Sledování ze strany Googlu nelze odmítnout.“ Alarmující je také zjištění, že „…telefon se pravidelně pokouší stahovat a spouštět nový kód, což potenciálně otevírá bezpečnostní rizika.“

Tým Cybernews vzal zbrusu nový Pixel 9 pro XL s novým účtem Google a výchozím nastavením a rootnul jej, aby bylo možné zachycení přenášených dat. Poté zkoumal příchozí a odchozí provoz a k dešifrování zachycené komunikace použil vlastní bezpečnostní certifikát.

Z hlediska bezpečnosti je nutné změnit výchozí nastavení

Vzhledem k tomu, že testování probíhalo s novým, výchozím účtem, tým nezkoumal, jaký vliv mohou mít uživatelské změny nastavení ochrany osobních údajů a zabezpečení. Nicméně vzhledem k tomu, jaké můžeme sledovat chování většiny uživatelů v případě  prohlížečů a aplikací, kdy zachovávají široce pojatá výchozí nastavení, je nutné, aby už tato nastavení nabízela dobrou míru ochrany ihned po vybalení zařízení z krabice.

Výzkumníci zjistili, že Pixel 9 Pro XL odesílá do Googlu datový paket každých 15 minut. Zařízení sdílí polohu, e-mailovou adresu, telefonní číslo, stav sítě a další telemetrii. Tato data jsou odesílána „…do různých koncových bodů společnosti Google, včetně správy zařízení, vynucování zásad a analýzu fotek.„

Google sice nedávno udělal vítaný krok a přestal shromažďovat časové osy uživatelů z Map Google. Namísto toho data uchovává pouze v zařízení. Nicméně co se týče zkoumaného chování Pixelu 9, tak „...údaje o poloze jsou do požadavku zahrnuty, i když je GPS vypnuto. Telefon se pak při odhadu polohy spoléhá na blízké sítě Wi-Fi“.

Může snad být sdílení takových dat pro uživatele i užitečné?

Důvodů, proč je shromažďování takových údajů nutné pro aktivaci některých funkcí, je více a Cybernews jako jeden z nich uvádí příklad nově zavedené funkce detekce autonehod. Existují také diagnostické a servisní toky, které proudí ze zařízení. Hlavním problémem však zůstává transparentnost a to, co mohou uživatelé rozumně očekávat, že se odehrává. A také o čem vlastně mohou rozhodovat.

Výzkumníci se také obávají, že komunikace probíhá „…se službami, s nimiž uživatel výslovně nesouhlasil“. Jako příklad uvádí aplikaci Fotky, kterou prý neotevřeli ani nefotili, ale „Pixel pravidelně kontaktoval koncové body spojené s funkcí analýzy fotek, aniž by požádal o souhlas“.
 

Šokující žádosti o spuštění kódu

Kromě shromažďování údajů o poloze a dalších informací server Cybernews také tvrdí, že zařízení kontaktovalo společnost Google s žádostí o spuštění nového kódu, čímž se otevřela bezpečnostní rizika.

To je mimochodem ještě více přitažené za vlasy, než shromažďování dat, a neexistují žádné důkazy o zranitelnosti vůči kódu třetích stran, zejména když je v zařízení povolena ochrana Play Protect. Přesto nelze nikdy vyloučit, že se sofistikovanější protivníci zmocní takové možnosti pro povolení spuštění kódu pro své vlastní účely.

Výzkumníci zároveň varují, že „hluboká integrace sledovacích systémů do ekosystému společnosti Google může způsobit, že uživatelé budou zranitelní vůči porušování soukromí. A i když se tento test týkal konkrétně nových zařízení Pixel Pro, jde zjevně o mnohem širší problém.

Google se brání: jde přeci o nejlepší uživatelské zážitky

V reakci na zprávu Cybernews mluvčí společnosti Google sdělil, že „…bezpečnost uživatelů a ochrana soukromí jsou pro Pixel nejvyššími prioritami. Sdílení dat, oprávnění aplikací a další informace uživatelé mohou spravovat během nastavení zařízení a v nastavení.„

Google očekávatelně všechna vznesená obvinění popírá. Zpráva podle slov jeho zástupců „…postrádá zásadní kontext, nesprávně interpretuje technické detaily a plně nevysvětluje, že přenosy dat jsou potřebné pro legitimní služby na všech mobilních zařízeních bez ohledu na výrobce, model nebo operační systém. Souvisí to s funkcemi, jako jsou aktualizace softwaru, funkce na vyžádání a personalizované zážitky.„

Vývojový tým pro Android, GrapheneOS, mezitím potvrdil, že pravidelné přenosy dat jsou běžné i na jiných zařízeních se systémy Android a iOS.

Google také zdůrazňuje, jakým způsobem řeší zabezpečení a ochranu dat uživatelů, a dodává, že sdílení osobních údajů a oprávnění aplikací lze spravovat v nastavení zařízení.

Zdroj: Cybernews, Forbes

Špeh v kapse: sleduje uživatele, aniž by o tom věděli

Pokud se obáváte, že vás váš telefon špehuje, sdílí vaše data a polohu, a to aniž byste o tom věděli, pak bude pro vás zjištění  prvního říjnového týdne znepokojivým čtením.

Výzkumníci ze serveru Cybernews přišli s varovnou zprávou, která popisuje skrytý tok dat, které se neustále přenášejí z nového modelu Pixel 9 na servery Googlu. A dodávají ještě významnější zjištění, nad kterým jen kroutíme hlavou: „Sledování ze strany Googlu nelze odmítnout.“ Alarmující je také zjištění, že „…telefon se pravidelně pokouší stahovat a spouštět nový kód, což potenciálně otevírá bezpečnostní rizika.“

Tým Cybernews vzal zbrusu nový Pixel 9 pro XL s novým účtem Google a výchozím nastavením a rootnul jej, aby bylo možné zachycení přenášených dat. Poté zkoumal příchozí a odchozí provoz a k dešifrování zachycené komunikace použil vlastní bezpečnostní certifikát.

Z hlediska bezpečnosti je nutné změnit výchozí nastavení

Vzhledem k tomu, že testování probíhalo s novým, výchozím účtem, tým nezkoumal, jaký vliv mohou mít uživatelské změny nastavení ochrany osobních údajů a zabezpečení. Nicméně vzhledem k tomu, jaké můžeme sledovat chování většiny uživatelů v případě  prohlížečů a aplikací, kdy zachovávají široce pojatá výchozí nastavení, je nutné, aby už tato nastavení nabízela dobrou míru ochrany ihned po vybalení zařízení z krabice.

Výzkumníci zjistili, že Pixel 9 Pro XL odesílá do Googlu datový paket každých 15 minut. Zařízení sdílí polohu, e-mailovou adresu, telefonní číslo, stav sítě a další telemetrii. Tato data jsou odesílána „…do různých koncových bodů společnosti Google, včetně správy zařízení, vynucování zásad a analýzu fotek.„

Google sice nedávno udělal vítaný krok a přestal shromažďovat časové osy uživatelů z Map Google. Namísto toho data uchovává pouze v zařízení. Nicméně co se týče zkoumaného chování Pixelu 9, tak „...údaje o poloze jsou do požadavku zahrnuty, i když je GPS vypnuto. Telefon se pak při odhadu polohy spoléhá na blízké sítě Wi-Fi“.

Může snad být sdílení takových dat pro uživatele i užitečné?

Důvodů, proč je shromažďování takových údajů nutné pro aktivaci některých funkcí, je více a Cybernews jako jeden z nich uvádí příklad nově zavedené funkce detekce autonehod. Existují také diagnostické a servisní toky, které proudí ze zařízení. Hlavním problémem však zůstává transparentnost a to, co mohou uživatelé rozumně očekávat, že se odehrává. A také o čem vlastně mohou rozhodovat.

Výzkumníci se také obávají, že komunikace probíhá „…se službami, s nimiž uživatel výslovně nesouhlasil“. Jako příklad uvádí aplikaci Fotky, kterou prý neotevřeli ani nefotili, ale „Pixel pravidelně kontaktoval koncové body spojené s funkcí analýzy fotek, aniž by požádal o souhlas“.
 

Šokující žádosti o spuštění kódu

Kromě shromažďování údajů o poloze a dalších informací server Cybernews také tvrdí, že zařízení kontaktovalo společnost Google s žádostí o spuštění nového kódu, čímž se otevřela bezpečnostní rizika.

To je mimochodem ještě více přitažené za vlasy, než shromažďování dat, a neexistují žádné důkazy o zranitelnosti vůči kódu třetích stran, zejména když je v zařízení povolena ochrana Play Protect. Přesto nelze nikdy vyloučit, že se sofistikovanější protivníci zmocní takové možnosti pro povolení spuštění kódu pro své vlastní účely.

Výzkumníci zároveň varují, že „hluboká integrace sledovacích systémů do ekosystému společnosti Google může způsobit, že uživatelé budou zranitelní vůči porušování soukromí. A i když se tento test týkal konkrétně nových zařízení Pixel Pro, jde zjevně o mnohem širší problém.

Google se brání: jde přeci o nejlepší uživatelské zážitky

V reakci na zprávu Cybernews mluvčí společnosti Google sdělil, že „…bezpečnost uživatelů a ochrana soukromí jsou pro Pixel nejvyššími prioritami. Sdílení dat, oprávnění aplikací a další informace uživatelé mohou spravovat během nastavení zařízení a v nastavení.„

Google očekávatelně všechna vznesená obvinění popírá. Zpráva podle slov jeho zástupců „…postrádá zásadní kontext, nesprávně interpretuje technické detaily a plně nevysvětluje, že přenosy dat jsou potřebné pro legitimní služby na všech mobilních zařízeních bez ohledu na výrobce, model nebo operační systém. Souvisí to s funkcemi, jako jsou aktualizace softwaru, funkce na vyžádání a personalizované zážitky.„

Vývojový tým pro Android, GrapheneOS, mezitím potvrdil, že pravidelné přenosy dat jsou běžné i na jiných zařízeních se systémy Android a iOS.

Google také zdůrazňuje, jakým způsobem řeší zabezpečení a ochranu dat uživatelů, a dodává, že sdílení osobních údajů a oprávnění aplikací lze spravovat v nastavení zařízení.

Zdroj: Cybernews, Forbes