- Výskum webu Cybernews priniesol alarmujúce závery týkajúce sa sledovania užívateľov s Pixel smartfómi
- Smartfón odosiela údaje spoločnosti Google aj napriek tomu, že si to zákazník nežiada
Cybernews analyzoval nový smartfón spoločnosti Google, Pixel 9 Pro XL a ich závery sú celkom alarmujúce. Zariadenie totiž pravidelne odosiela spoločnosti Google obrovské množstvo informácií a to aj vtedy, keď si to zákazník neželá.
„Každých 15 minút odošle zariadenie Google Pixel 9 Pro XL spoločnosti Google dátový balík. Zariadenie zdieľa polohu, e-mailovú adresu, telefónne číslo, stav siete a ďalšie telemetrické údaje. Ešte znepokojujúcejšie je, že telefón sa pravidelne pokúša stiahnuť a spustiť nový kód, čo potenciálne otvára bezpečnostné riziká,“ povedal Aras Nazarovas, bezpečnostný výskumník zo spoločnosti Cybernews.
Výskumníci použili pri analýze zariadenia tzv. man-in-the-middle spôsob. Kúpili si nový Pixel 9 Pro XL a nainštalovali doň Magisk aplikáciu na získanie root prístupu do zariadenia. Následne ho použili na zachytávanie komunikácie medzi smartfónom a „svetom.“ Web však podotkol, že root zariadenia vypol funkcie ako Google Gemini asistenta, Pixel Studio a ďalšie funkcie. Ide teda o nekompletnú komunikáciu.
Aj keď si to neželáte…
Napriek tomu sú však závery celkom zarážajúce. „Analýza webovej prevádzky odhalila, že zariadenie Pixel nepretržite odosiela osobne identifikovateľné informácie (PII), ako napríklad e-mailovú adresu, telefónne číslo a polohu používateľa, na rôzne koncové body spoločnosti Google vrátane Device Management, Policy Enforcment a Face Grouping.“
„Telefón si tiež približne každých 40 minút vyžiada koncový bod „check-in“ so zoznamom nízkoúrovňových funkcií povolených v telefóne, ako je verzia firmvéru, či je pripojený k sieti Wi-Fi alebo používa mobilné dáta, karta SIM Carrier a e-mailová adresa používateľa.“
Poloha smartfónu sa zdieľa aj napriek tomu, že zákazník má vypnuté lokalizačné služby. Vtedy používa lokalitu na základe blízkeho WiFi pripojenia.
„Pixel 9 Pro XL opakovane používa osobné údaje na overovanie, konfiguráciu a zaznamenávanie. Tento postup nie je v súlade s najlepšími postupmi anonymizácie v odvetví a zdá sa byť nadmerný. Smartfón prenáša e-mailovú adresu používateľa, polohu a telefónne číslo, aj keď využíva množstvo iných identifikátorov používateľa a zariadenia,“ uviedol Nazarovas.
Test bol vykonávaný za použitia predvolených nastavení.
Výskum dokonca zistil, že Google do Pixel zariadení predinštaloval istú formu vzdialeného prístupu. „Znepokojujúce je, že sme zaznamenali, že CloudDPC sa dostáva na servery spoločnosti Google. To signalizuje, že spoločnosť môže byť schopná ovládať nastavenia a vykonávať akcie na bežných spotrebiteľských zariadeniach, ak sa tak rozhodne. Zdá sa, že používatelia nemajú úplnú kontrolu nad zariadením, keď môže dodávateľ vykonávať zmeny bez vedomia a súhlasu používateľa,“ povedal Nazarovas.
„Množstvo prenášaných údajov a možnosť vzdialenej správy spochybňuje, kto je skutočným vlastníkom zariadenia. Používatelia zaň možno zaplatili, ale hlboká integrácia systémov dohľadu do ekosystému môže spôsobiť, že používatelia budú zraniteľní voči porušovaniu súkromia,“ skonštatoval Nazarovas.
