Wer denkt WhatsApp wäre datentechnisch fragwürdig, darf sich von den folgenden Anwendungen überraschen lassen. Die Google-Apps „Messages“, aber auch die „Telefon von Google“ stehen dem Messenger von Meta (ehemals Facebook) nämlich anscheinend in nichts nach. Expert*innen zumindest haben herausgefunden, wie dreist beide mit persönlichen Informationen umgehen.
Spionierende Google-Apps: Daten gehen an das Unternehmen
Veröffentlicht wurde das genannte Paper „What Data Do The Google Dialer and Messages Apps on Android Send to Google?“ von Douglas J. Leith, Professor für Computerwissenschaften am Trinity College Dublin. Er beschreibt darin, dass und wie beide Anwendungen ganz explizit ohne Zustimmung einzufordern persönlichen Daten an das Unternehmen weitergeben.
Im Detail sollen sie Informationen über die Kommunikation sammeln, darunter ein SHA256-Hash der Nachrichten und ihrer Zeitstempel, Telefonnummern, eingehende und ausgehende Anrufe, Dauer der Anrufe und ihre Länge. Diese Daten werden dann dem Bericht zufolge unter Nutzung des Google Play Services Clearcut logger und Google/Firebase Analytics an Google-eigene Server übermittelt.
Für Google sind solche Daten wertvoll, weil sich damit Absender*innen und Empfänger*innen und/oder die beiden für einen Anruf verwendeten Geräte miteinander verknüpfen lassen.
„Die Daten, die von Google Messages verschickt werden, enthalten einen Hash der Textnachricht, der es erlaubt, Sender und Empfänger in einem Nachrichtenaustausch in Verbindung zu bringen. Die Daten, die von Google Telefon verschickt werden, beinhalten Zeit und Dauer des Anrufs, was es erneut ermöglicht, beide beteiligten Geräte miteinander in Verbindung zu bringen.“
Douglas J. Leith
Deaktivieren nicht möglich
Wie The Register berichtet, gibt es für die Nutzerschaft beider Google-Apps keine Möglichkeit, diesem Vorgehen zu widersprechen. Das ist besonders bedenklich, da die Anwendungen auf Milliarden Android-Geräten installiert sind. Darunter Smartphones der Hersteller Huawei, Samsung und Xiaomi.
Keine der vorinstallierten Versionen beider Anwendungen gebe zudem in ihren Datenschutzrichtlinien darüber Auskunft, welche Daten erhoben werden. Google verlangt dagegen entsprechende Angaben von Drittanbietern.
Ein Detail ist zusätzlich bedenklich, sollte es zutreffen. Leith glaubt, dass Hashes für kurze Nachrichten insoweit umkehrbar sind, als dass sie Teile des Inhaltes preisgeben können.
„Kollegen haben mir erzählt, ja, im Prinzip ist es wahrscheinlich möglich. Der Hash enthält einen stündlichen Zeitstempel, es würde also erfordern, Hashes für alle Kombinationen von Zeitstempeln und Zielnachrichten zu generieren und diese mit dem beobachteten Hash abzugleichen, um einen Treffer zu landen – angesichts moderner Rechenleistung machbar bei kurzen Nachrichten, denke ich.“
Douglas J. Leith
Google über Apps bereits in Kenntnis gesetzt
Laut Einleitung der Studie wurde Google von Leith und seinem Team bereits informiert. Man verschob die Bekanntmachung der Erkenntnisse anschließend um mehrere Monate. Zum Zeitpunkt der Veröffentlichung (28. Februar 2022) hatte Google erklärt, multiple Veränderungen an den betroffenen Google-Apps vornehmen zu wollen.
Was hat Google alles über mich gespeichert?
Wer nicht möchte, das Google (zu viele) persönliche Daten sammelt, kann ein wenig dagegen vorgehen. So lassen sich diverse Android-Einstellungen ändern, um es dem Unternehmen schwerer zu machen. Du kannst zudem direkt rausfinden, welche Informationen der Konzern besitzt: Eine Webseite zeigt dir, was Google über dich weiß.
Quellen: Trinity College Dublin: „What Data Do The Google Dialer and Messages Apps on Android Send to Google?„, The Register
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.