Google gromadzi mnóstwo danych o użytkownikach urządzeń z Androidem, nawet jeśli nie uruchomili oni żadnej aplikacji

Szczegóły badania

Profesor D.J. Leith z Trinity College Dublin w swoim badaniu jako pierwszy udokumentował, że wstępnie zainstalowane aplikacje Google potajemnie śledzą użytkowników, nie prosząc ich o zgodę ani nie oferując możliwości rezygnacji.

W ramach badania przeanalizowano pliki cookie, identyfikatory oraz inne dane przechowywane na smartfonach z Androidem przez Google Play Services, Google Play Store i inne wstępnie zainstalowane aplikacje Google.

Testy przeprowadzono na urządzeniu Google Pixel 7 z systemem Android 14, korzystając z najnowszych wersji aplikacji Google Play Services i Google Play Store dostępnych w momencie badania.

Analiza przeprowadzona przez ekspertów SCSS wykazała, że serwery Google automatycznie wysyłają i przechowują na urządzeniach liczne identyfikatory śledzące już w momencie przywracania ustawień fabrycznych – jeszcze zanim użytkownik uruchomi jakąkolwiek aplikację Google lub wyrazi zgodę na gromadzenie danych.

Zidentyfikowane identyfikatory obejmują m.in. pliki cookie analityki reklamowej, linki śledzące interakcje z reklamami (takie jak wyświetlenia i kliknięcia), a także trwałe identyfikatory urządzeń. Te ostatnie mogą jednoznacznie identyfikować zarówno sprzęt, jak i samego użytkownika, co rodzi poważne obawy dotyczące prywatności.

Najbardziej niepokojące jest to, że system nie wymaga od użytkownika żadnej zgody przed zapisaniem tych danych, a obecnie brakuje jakichkolwiek mechanizmów pozwalających na wyłączenie tego rodzaju śledzenia.

Takie działanie może potencjalnie naruszać unijne przepisy dotyczące ochrony prywatności, w tym dyrektywę ePrivacy oraz ogólne rozporządzenie o ochronie danych osobowych (RODO), co może skutkować konsekwencjami prawnymi dla Google.

Odkryte metody śledzenia

Badanie ujawniło kilka konkretnych technologii wykorzystywanych do śledzenia użytkowników.

Jednym z kluczowych elementów jest identyfikator Google Android – trwały identyfikator urządzenia, zapisywany w różnych lokalizacjach systemowych, m.in. w pliku shared_prefs/Checkin.xml, oraz przesyłany do serwerów Google w licznych żądaniach sieciowych. Identyfikator ten pozostaje na urządzeniu aż do momentu przywrócenia ustawień fabrycznych, a po zalogowaniu użytkownika do konta Google zostaje z nim powiązany, umożliwiając dalsze śledzenie aktywności.

Dodatkowo pliki cookie DSID, wykorzystywane do analizy reklam, są przesyłane za pośrednictwem domeny googleads.g.doubleclick.net i przechowywane w katalogu danych Google Play Services, co pozwala na śledzenie interakcji użytkownika z reklamami.

Ukryte mechanizmy śledzenia w Google Play

Podczas wyszukiwania w Google Play Store tzw. „sponsorowane” wyniki zawierają linki śledzące, które informują Google o kliknięciach użytkownika. Analiza wykazała, że wyniki wyszukiwania są pobierane z osadzonymi linkami śledzącymi reklamy, umożliwiającymi monitorowanie interakcji.

Badanie udokumentowało również szerokie wykorzystanie przez Google różnych technologii śledzenia, w tym plików cookie NID w wielu aplikacjach, serwerowych tokenów do testów A/B oraz tokenów autoryzacyjnych, które w sposób niezauważalny logują użytkowników do wielu usług Google.

Zaobserwowano również aktywne połączenia z serwerami Firebase Analytics, które przesyłają dane dotyczące interakcji użytkownika, co dodatkowo rozszerza zakres śledzenia.

„Obecnie użytkownicy mają bardzo ograniczoną kontrolę nad danymi gromadzonymi przez aplikacje na urządzeniach z Androidem” – zauważa profesor Leith w swoim badaniu. „Główne sposoby ochrony prywatności to całkowite wyłączenie usług Google Play lub aplikacji Google Play Store, jednak dla większości użytkowników nie są to realistyczne opcje”.

„Przedstawiamy tutaj badanie techniczne, a nie prawne, i nie posiadamy kwalifikacji prawnych. Niemniej, jak już zauważono, przechowywanie danych, które obserwujemy przez Google, budzi oczywiste pytania dotyczące dyrektywy UE o prywatności i łączności elektronicznej, a być może także przepisów o ochronie danych GDPR/RODO” – stwierdził badacz.

Jak się chronić przed śledzeniem?

Ochrona przed automatycznym śledzeniem przez usługi Google Play i preinstalowanymi aplikacjami Google jest trudna, ale można podjąć kilka kroków w celu ograniczenia gromadzenia danych:

1. Minimalizacja korzystania z konta Google – jeśli to możliwe, unikaj logowania się na konto Google na urządzeniu lub korzystaj z alternatywnych kont do mniej wrażliwych działań.
2. Ustawienia prywatności – w ustawieniach Androida przejdź do sekcji Google → Reklamy i zresetuj identyfikator reklamowy oraz wyłącz personalizację reklam.
3. Blokowanie połączeń z Google – zaawansowani użytkownicy mogą skonfigurować firewall (np. z aplikacją NetGuard lub RethinkDNS) do blokowania ruchu sieciowego wybranych usług Google.
4. Korzystanie z systemów bez Google – rozważ instalację alternatywnego systemu operacyjnego, takiego jak GrapheneOS lub CalyxOS, które usuwają usługi Google.
5. Ograniczenie uprawnień aplikacji – w ustawieniach aplikacji przejrzyj i ogranicz uprawnienia nadane aplikacjom Google, np. dostęp do lokalizacji, mikrofonu i pamięci.
6. Blokowanie plików cookie i trackerów – używaj przeglądarek z wbudowanymi funkcjami prywatności, takich jak Brave czy Firefox z dodatkami typu uBlock Origin.
7. Wyłączenie lub usunięcie aplikacji Google – nie zawsze jest to możliwe, ale warto sprawdzić, czy można usunąć lub wyłączyć preinstalowane aplikacje Google w ustawieniach systemu.
8. Monitorowanie ruchu sieciowego – narzędzia takie jak Pi-hole lub AdGuard Home mogą pomóc w wykrywaniu i blokowaniu niepożądanych połączeń do serwerów Google.

Choć całkowite uniknięcie śledzenia na Androidzie jest trudne, kombinacja tych metod może znacznie zmniejszyć ilość zbieranych danych. Z całością badania można zapoznać się tutaj.