Навіть якщо користувачі Android видалять найбільш підозрілі програми, відключать можливість відстеження в налаштуваннях і вживають усіх необхідних заходів, цього недостатньо для того, щоб пристрій перестав стежити за ними. Android-смартфони однаково збирають велику кількість даних. Про це свідчить дослідження експертів з Дублінського Трініті-коледжу. Крім того, цьогорічне дослідження Дугласа Лейта показало, що Google збирає в 20 разів більше даних від користувачів Android в порівнянні з даними, які Apple збирає від користувачів iOS.
Аналіз прошивок Samsung, Xiaomi, Huawei, realme та LineageOS
Дослідники проаналізували схеми передачі даних деякими популярними версіями операційної системи Android від Google, зокрема прошивки, розроблені Samsung, Xiaomi, Huawei та realme і прошивки LineageOS. Виявилося, що Android-смартфони «з коробки» навіть в режимі очікування постійно надсилають інформацію розробникам ОС і деяким стороннім компаніям. При цьому, часто відсутні можливості припинення цих процесів.
Значна частина відповідальності лежить на системних застосунках, встановлених виробниками пристроїв для забезпечення функціональності. Наприклад, додатки камери або ті, що призначені для обміну повідомленнями. Таке ПЗ зазвичай неможливо видалити або модифікувати без рут-доступу. І такі програми будуть надсилати інформацію розробникам, навіть якщо їх ні разу не відкривали.
Зокрема, з’ясувалося, що додаток LinkedIn, встановлений компанією Samsung, регулярно відправляє на сервери Microsoft інформацію про пристрій. Дані містять «телеметрію», зокрема унікальний ідентифікатор і кількість встановлених програм Microsoft. Інформація також передається іншим компаніям, в тому числі, розробникам метрик, які користуються додатками, найбільшою кількістю з яких є від Google.
Подібна практика характерна не тільки для Samsung. Наприклад, застосунок «Повідомлення» на смартфонах Xiaomi відправляє в Google всілякі дані, зокрема логи часу щоразу, як користувач надсилав текст. Щось подібне відбувається і зі смартфонами Huawei.
В основному йдеться про технічні дані, відправка яких мало турбує звичайних користувачів. Зокрема, відомості про модель пристрою і розмір екрана, ідентифікатори серійного номера смартфона або подібна інформація. Кожна з таких деталей окремо не дозволяє ідентифікувати власника смартфона, але сукупно вони формують «унікальний відбиток», за яким можна легко відстежувати пристрій. Застосунки, не пов’язані з Android напряму, часто використовують власні ідентифікатори, які дозволяють досить легко встановити власника смартфона.
Які ще дані збирають Android-смартфони?
У зв’язку з цим, Google останнім часом обмежує можливості застосунків. Розробникам повідомляється, що пов’язувати рекламні ID-пристрою і більш важливі дані, на зразок IMEI, заборонено. І хоча розробники додатків для аналітики можуть встановлювати подібний зв’язок, вони зобов’язані робити це за прямої згоди користувача.
При цьому, Google практично не обмежує розробників в праві збору різноманітної інформації, переважно обмежуючи її використання. Збір даних триває навіть у фоновому режимі, поки користувач не видалить ПЗ або смартфон не вийде з ладу і буде викинутий на смітник чи переробку. На питання журналістів про збір даних в Google лаконічно відповіли, що так працюють сучасні смартфони, і збір обмеженої кількості даних необхідний для роботи базових сервісів в екосистемах пристроїв. Наприклад, IMEI використовується для ідентифікації при доставці патчів, що виправляють критичні уразливості.
В ході дослідження використовувався пристрій під управлінням «/e/OS» – операційної системи на базі Android, в якій багато додатків замінені на еквіваленти без необхідності авторизації через обліковий запис Google. Виявилося, що смартфон може цілком нормально функціонувати та нікуди не надсилати дані у фоновому режимі. Іншими словами, подібне відстеження необхідне тільки тим, хто не уявляє себе за межами екосистеми Google.
Останнім часом регулятори багатьох регіонів, включно з США та ЄС, цілеспрямовано посилюють правила обробки даних технологічними гігантами, що дозволяють ідентифікувати користувачів. Проте анонімні відомості, зокрема специфікації пристроїв й їхні ідентифікатори, зазвичай не підпадають під дію цих законів. Хоча їх легко можна використовувати для ідентифікації.