Οι ερευνητές προειδοποιούν ότι «δεν ζητείται καμία συγκατάθεση για την αποθήκευση οποιουδήποτε από αυτά τα δεδομένα και δεν υπάρχει δυνατότητα εξαίρεσης»
Το Google Chrome πρόκειται να κάνει μια τεράστια αλλαγή στην παρακολούθηση. Περιμένουμε μια παγκόσμια προτροπή για να πούμε όχι στα cookies μέσα στο πιο δημοφιλές πρόγραμμα περιήγησης στον κόσμο – αν και θα χρειαστεί να χρησιμοποιήσουμε την ιδιωτική περιήγηση για ορισμένες από τις νέες προστασίες. Αλλά ενώ συμβαίνουν όλα αυτά, υπάρχει μια νέα δυσάρεστη έκπληξη για τους χρήστες Android, οι οποίοι φαίνεται ότι θα παρακολουθούνται ούτως ή άλλως.
Μια νέα μελέτη του Trinity College του Δουβλίνου προειδοποιεί ότι η Google αρχίζει να παρακολουθεί το τηλέφωνό σας αμέσως μόλις αυτό ενεργοποιηθεί, μέσω «cookies, αναγνωριστικών και άλλων δεδομένων που η Google αποθηκεύει σιωπηλά στις συσκευές Android», μέσω των προεπιλεγμένων εφαρμογών που είναι προεγκατεστημένες. Οι ερευνητές προειδοποιούν ότι «δεν ζητείται καμία συγκατάθεση για την αποθήκευση οποιουδήποτε από αυτά τα δεδομένα και δεν υπάρχει δυνατότητα εξαίρεσης». Ισχυρίζονται επίσης ότι «αυτή η μελέτη είναι η πρώτη που ρίχνει φως στα cookies κ.λπ. που αποθηκεύονται από τις προεγκατεστημένες εφαρμογές της Google».
Αυτή η παρακολούθηση ξεκινά ακόμη και αν δεν ανοίξετε τις εφαρμογές, και η έκθεση ισχυρίζεται ότι δεν υπάρχει opt out – κάτι που έρχεται σε σύγκρουση με την κατεύθυνση που ακολουθείται με τα cookies παρακολούθησης του Chrome. Οι εν λόγω προεγκατεστημένες εφαρμογές περιλαμβάνουν το Play Store και τις υπηρεσίες Play της Google, κάτι που είναι ιδιαίτερα επίκαιρο δεδομένης της φρενίτιδας γύρω από την εφαρμογή σάρωσης φωτογραφιών SafetyCore που έχει «εγκατασταθεί κρυφά» σε όλα σχεδόν τα τηλέφωνα Android τους τελευταίους μήνες. Αυτό το ζήτημα είναι το ίδιο – η διαφάνεια.
Τα κακά νέα εδώ είναι ότι σε αντίθεση με το SafetyCore, σύμφωνα με τους ερευνητές δεν υπάρχει τρόπος να σταματήσει αυτό. Έχω επικοινωνήσει με την Google και θα ενημερώσω με τα σχόλιά τους σχετικά με τα fin dings της έκθεσης και για τις συμβουλές τους σχετικά με οποιονδήποτε τρόπο για να εξαιρεθείτε. Διαφορετικά, ίσως χρειαστεί να αλλάξετε λειτουργικό σύστημα για να εξουδετερώσετε αυτού του είδους τη διαρροή δεδομένων.
Η μελέτη της Trinity έπιασε τα cookies που μετρούν τις προβολές διαφημίσεων και τα κλικ μαζί με το Android ID το οποίο είναι ως «μόνιμο αναγνωριστικό συσκευής και χρήστη» – αν και πολλές προειδοποιήσεις λένε να το επαναφέρετε ή να το απενεργοποιήσετε, καθώς και τα συνήθη cookies παρακολούθησης. Η ομάδα λέει ότι «δεν ζητείται ή δεν δίνεται καμία συγκατάθεση για την αποθήκευση οποιουδήποτε από αυτά τα cookies και άλλα δεδομένα, οι σκοποί δεν δηλώνονται και δεν υπάρχει δυνατότητα εξαίρεσης από αυτή την αποθήκευση δεδομένων. Τα περισσότερα από αυτά τα δεδομένα αποθηκεύονται ακόμη και όταν η συσκευή βρίσκεται σε αδράνεια μετά από επαναφορά εργοστασιακών ρυθμίσεων και δεν έχουν ανοίξει ποτέ εφαρμογές της Google από τον χρήστη, δηλαδή δεν έχουν οριστεί ως απάντηση σε υπηρεσίες που έχουν ζητηθεί ρητά από τον χρήστη».
Είναι σημαντικό να μην υπερεκτιμήσουμε αυτά τα ευρήματα. Προειδοποιώ εδώ και χρόνια ότι τα τηλέφωνά μας έχουν σχεδιαστεί για να παρακολουθούν σχεδόν όλα όσα κάνουμε και ότι πρέπει να αλλάξουμε τις ρυθμίσεις για να προσθέσουμε ένα μικρό ποσοστό ιδιωτικότητας. Το θέμα εδώ είναι η ευαισθητοποίηση. Υπάρχει επίσης ένα ζήτημα γύρω από το πώς περιορίζουμε την παρακολούθηση από το ίδιο το λειτουργικό σύστημα και τις βασικές υπηρεσίες του, όχι μόνο από εφαρμογές τρίτων.
Ο καθηγητής Doug Leith του πανεπιστημίου δήλωσε στο Irish Tech News ότι «όλοι γνωρίζουμε ότι απαιτείται η συγκατάθεσή μας προτού ένας ιστότοπος αποθηκεύσει cookies διαφήμισης και παρακολούθησης όταν τον επισκεπτόμαστε», αλλά ότι «τα cookies που αποθηκεύονται από εφαρμογές έχουν λάβει πολύ λιγότερη προσοχή από τα cookies ιστού, εν μέρει επειδή είναι πιο δύσκολο να εντοπιστούν, και μια πιο προσεκτική ματιά σε αυτά έχει καθυστερήσει εδώ και καιρό».
Η έκθεση αυτή έρχεται μόλις λίγες ημέρες μετά την αμφιλεγόμενη απόφαση της Google να επιτρέψει και πάλι το δακτυλικό αποτύπωμα της συσκευής, μετά την εκμηδένιση της πρακτικής αυτής το 2019. Τότε, η Google ανέφερε ότι «οι προγραμματιστές έχουν βρει τρόπους να χρησιμοποιούν μικροσκοπικά κομμάτια πληροφοριών που διαφέρουν μεταξύ των χρηστών, όπως τι συσκευή έχουν ή τι γραμματοσειρές έχουν εγκαταστήσει, για να δημιουργήσουν ένα μοναδικό αναγνωριστικό το οποίο μπορεί στη συνέχεια να χρησιμοποιηθεί για την αντιστοίχιση ενός χρήστη σε όλους τους ιστότοπους. Σε αντίθεση με τα cookies, οι χρήστες δεν μπορούν να διαγράψουν το δακτυλικό τους αποτύπωμα και επομένως δεν μπορούν να ελέγξουν τον τρόπο συλλογής των πληροφοριών τους. Πιστεύουμε ότι αυτό υπονομεύει την επιλογή των χρηστών και είναι λάθος».
Είναι δύσκολο να δούμε ότι αυτό, με την έλλειψη ελέγχου, είναι πολύ διαφορετικό – σίγουρα τότε πρέπει να είναι εξίσου λάθος. Η επιστροφή της Google στο δακτυλικό αποτύπωμα δικαιολογήθηκε με βάση τις νέες τεχνολογίες «διατήρησης της ιδιωτικής ζωής» που μας δίνουν μεγαλύτερη προαιρετικότητα ως προς το τι μπορούν και τι δεν μπορούν να κάνουν τα τηλέφωνά μας. Φυσικά, είναι κρίσιμο να γνωρίζουμε τι πρέπει να περιορίσουμε.
Η μελέτη της Trinity εμβαθύνει στα θολά νερά της νομοθεσίας και των κανονισμών για τα δεδομένα, αν και η έκθεση είναι μια « τεχνική μελέτη, όχι νομική, και [αυτοί] δεν έχουν νομικά προσόντα». Παρ’ όλα αυτά, αναφέρει, «η αποθήκευση δεδομένων που παρατηρούμε από την Google εγείρει προφανή ερωτήματα σχετικά με την οδηγία της ΕΕ για την προστασία της ιδιωτικής ζωής στην ηλεκτρονική επικοινωνία και ίσως και τους κανονισμούς προστασίας δεδομένων GDPR». Αυτό προκύπτει από το γεγονός ότι όλες οι μετρήσεις δεδομένων πραγματοποιήθηκαν στην Ιρλανδία, η οποία εμπίπτει στις εν λόγω προστασίες.
«Η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες«, σημειώνει η έκθεση, “αναφέρεται μερικές φορές ως ”νόμος για τα cookies». «Αναγνωρίζει ότι οι συσκευές των χρηστών των δικτύων ηλεκτρονικών επικοινωνιών και οι τυχόν πληροφορίες που είναι αποθηκευμένες στις συσκευές τους αποτελούν μέρος της «ιδιωτικής σφαίρας» τους και ότι απαιτούν προστασία», η οποία “περιορίζει την αποθήκευση δεδομένων σε ένα ακουστικό, δηλώνοντας ότι ”ένα πρόσωπο δεν πρέπει να χρησιμοποιεί ένα δίκτυο ηλεκτρονικών επικοινωνιών για να αποθηκεύσει πληροφορίες ή να αποκτήσει πρόσβαση σε πληροφορίες που είναι ήδη αποθηκευμένες στον τερματικό εξοπλισμό ενός συνδρομητή ή χρήστη, εκτός εάν: α) ο συνδρομητής ή ο χρήστης έχει δώσει τη συγκατάθεσή του για τη χρήση αυτή και β) στον συνδρομητή ή τον χρήστη έχουν παρασχεθεί σαφείς και περιεκτικές πληροφορίες σύμφωνα με τους νόμους περί προστασίας δεδομένων, οι οποίες: i) είναι τόσο εμφανώς εμφανείς όσο και εύκολα προσβάσιμες και ii) περιλαμβάνουν, χωρίς περιορισμό, τους σκοπούς της επεξεργασίας των πληροφοριών. ‘ Εξαιρέσεις επιτρέπονται όταν η αποθήκευση γίνεται «για τον αποκλειστικό σκοπό της πραγματοποίησης της μετάδοσης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών» ή «είναι απολύτως αναγκαία για την παροχή μιας υπηρεσίας της κοινωνίας της πληροφορίας που ζητήθηκε ρητά από τον συνδρομητή ή τον χρήστη».»
Σε απάντηση σε αυτό, η Google μου είπε ότι «η παρούσα έκθεση προσδιορίζει έναν αριθμό τεχνολογιών και εργαλείων της Google που στηρίζουν τον τρόπο με τον οποίο προσφέρουμε χρήσιμα προϊόντα και υπηρεσίες στους χρήστες μας. Ο ερευνητής αναγνωρίζει στην έκθεση ότι δεν είναι νομικά καταρτισμένος και δεν συμφωνούμε με τη νομική του ανάλυση. Το απόρρητο των χρηστών αποτελεί ύψιστη προτεραιότητα για το Android και δεσμευόμαστε να συμμορφωνόμαστε με όλους τους ισχύοντες νόμους και κανονισμούς περί απορρήτου».
Αυτή δεν είναι η πρώτη φορά που οι Trinity και Leith αναφέρουν τις πρακτικές δεδομένων της Google. Το 2022, προειδοποίησαν ότι «τα δεδομένα που αποστέλλονται στην Google από τις εφαρμογές Google Messages και Google Dialer [ενημερώνουν] την Google όταν πραγματοποιούνται/λαμβάνονται μηνύματα/τηλεφωνικές κλήσεις… Τα δεδομένα που αποστέλλονται από το Google Dialer περιλαμβάνουν τον χρόνο και τη διάρκεια της κλήσης, επιτρέποντας και πάλι τη σύνδεση των δύο συσκευών που συμμετέχουν σε μια τηλεφωνική κλήση. Οι αριθμοί τηλεφώνου αποστέλλονται επίσης στη Google».
Και το 2021, η ομάδα μελέτησε «την κίνηση τηλεμετρίας που στέλνουν οι σύγχρονες συσκευές iOS και Android πίσω στους διακομιστές της Apple και της Google και διαπίστωσε ότι η Google συλλέγει περίπου 20 φορές περισσότερα δεδομένα τηλεμετρίας από τις συσκευές Android απ’ ό,τι η Apple από το iOS». Κάπως ανησυχητικά, όπως ανέφερε τότε το The Record, «τόσο το iOS όσο και το Google Android μεταδίδουν τηλεμετρία, παρά το γεγονός ότι ο χρήστης επιλέγει ρητά την απενεργοποίηση αυτής της [επιλογής]».
Στη μελέτη, ο Leith σημειώνει ότι «οι εφαρμογές Google Play Services και Google Play store που μελετήθηκαν εδώ χρησιμοποιούνται ενεργά από εκατοντάδες εκατομμύρια ανθρώπους. Ενημερώσαμε την Google για τα ευρήματά μας και καθυστερήσαμε τη δημοσίευση για να της επιτρέψουμε να απαντήσει. Έδωσαν μια σύντομη απάντηση, δηλώνοντας ότι δεν θα σχολιάσουν τις νομικές πτυχές (δεν τους ζητήθηκε να σχολιάσουν αυτές). Δεν επεσήμαναν τυχόν λάθη ή λανθασμένες δηλώσεις (τις οποίες τους ζητήθηκε να σχολιάσουν). Δεν απάντησαν στην ερώτησή μας σχετικά με το αν σκοπεύουν να προβούν σε αλλαγές στα cookies κ.λπ. που αποθηκεύονται από το λογισμικό τους».
Αυτή είναι μια δύσκολη περίοδος για την Google στο μέτωπο της παρακολούθησης και η τελευταία έκθεση θα αναδείξει μερικά από όσα συμβαίνουν κάτω από την επιφάνεια στις συσκευές και τις πλατφόρμες που όλοι χρησιμοποιούμε. Όπως έχω σχολιάσει πολλές φορές πρόσφατα, είναι ζωτικής σημασίας η Google και οι άλλοι πάροχοι mainstream πλατφορμών να αυξήσουν τα επίπεδα διαφάνειας, καθώς η ισορροπία αυτή τη στιγμή γυρίζει προς τη λάθος κατεύθυνση. Είχαμε κάνει καλά βήματα στην προστασία της ιδιωτικής ζωής, αλλά αυτό φαίνεται να έχει αρχίσει να ταλαντεύεται, και όχι μόνο για την Google.
Σύμφωνα με τον Leith, αυτή η τελευταία έρευνα είναι μια «κλήση αφύπνισης» για τις ρυθμιστικές αρχές δεδομένων ώστε να «αρχίσουν να προστατεύουν σωστά» τους χρήστες των τηλεφώνων Android. «Οι υπηρεσίες Google Play και το κατάστημα Google Play είναι προεγκατεστημένα σχεδόν σε κάθε τηλέφωνο Android. Αυτή η μελέτη δείχνει ότι αποθηκεύουν σιωπηλά διαφημιστικά και άλλα cookies και δεδομένα παρακολούθησης στα τηλέφωνα των ανθρώπων. Η Google δεν ζητάει καμία συγκατάθεση γι’ αυτό και δεν υπάρχει τρόπος να μπλοκαριστούν αυτά τα cookies».
