Google ist ein Datenkrake, tut aber auch viel für Datenschutz und Sicherheit. Allerdings gibt es mit der Google Telefon-App und Google Messages zwei Apps, die ohne das Wissen des Nutzers Daten direkt an Google weitergeleitet haben.
Google Telefon-App und Google Messages – Datenaustausch mit Google
Am Montag wurde von The Register gemeldet, dass die Google Apps Telefon und Messages Daten gesammelt und diese direkt an Google gesendet haben. All das passierte ohne Zustimmung der Nutzer oder einer Möglichkeit eines Opt.-Out (Verstoß gegen die europäischen Datenschutzgesetze).
Laut der Forschungsarbeit „What Data Do The Google Dialer and Messages
Apps On Android Send to Google?“ von Douglas Leith, Informatikprofessor am Trinity College Dublin haben beide Apps Daten über die Benutzerkommunikation an den Clearcut Protokollierungsdienst von Google Play Services und den Firebase Analytics Dienst von Google gesendet.
- „Die von Google Messages gesendeten Daten enthalten einen Hash des Nachrichtentexts, der die Verknüpfung von Absender und Empfänger in einem Nachrichtenaustausch ermöglicht“, heißt es in dem Papier.
- „Die von Google Dialer gesendeten Daten beinhalten die Anrufzeit und -dauer, was wiederum die Verknüpfung der beiden an einem Telefonanruf beteiligten Mobilteile ermöglicht. Telefonnummern werden auch an Google gesendet.“
Auch Zeitpunkt und Dauer anderer Nutzerinteraktionen mit diesen Apps werden an Google übermittelt. Und Google bietet keine Möglichkeit, dieser Datenerhebung zu widersprechen. Messages und die Telefon-Apps sind auf über einer Milliarde Android Phones vorinstalliert.
Beiden vorinstallierten Versionen der Apps fehlen App-spezifische Datenschutzrichtlinien, die erklären, welche Daten gesammelt werden. Google verlangt dies schon lange von Anbietern von Dritt-Apps. Als über Google Takeout eine Anfrage für die Google Kontodaten gestellt wurde (das Konto war mit den verwendeten Apps verknüpft) enthielten die von Google zum Download bereitgestellten Daten nicht die beobachteten Telemetriedaten.
Beide Apps haben derzeit bei Google Play Links zu Googles Datenschutzrichtlinien für Verbraucher, die nicht App-spezifisch und für diejenigen, die die vorinstallierten Apps erhalten, nicht unbedingt ersichtlich sind.
Bei Messages nutzt Google den Nachrichteninhalt und einen Zeitstempel, generiert einen SHA256-Hash der dann zum Teil übertragen wird. Hashes sind schwer zurückzuverfolgen, könnten aber laut Forscher Leith in diesem Fall einen Teil des Nachrichteninhaltes wiederherstellen.
Die Ergebnisse seiner Forschung leitete Leith bereits im vergangenen November an Google. Google hat nun am Montag bestätigt, dass die Ergebnisse korrekt seien und man konstruktiv zusammen gearbeitet habe und dies auch weiterhin tun wird.
Laut Google wurden die gesammelten Daten bereits auf den Servern anonymisiert. Eingehende Zeitstempel wurden auf den Servern auf die nächste Stunde gerundet. Um noch besser in Sachen Datenschutz zu werden, wird die Anonymisierung jetzt direkt auf dem Telefon durchgeführt, sodass die Google Server niemals die genauen Daten haben.
Sämtliche auf den Datenschutz ausgerichteten Verbesserungen wurden bereits im Februar über den Play Store mit Google Phone App Version 75 und Messages Version 10.9 ausgerollt.