Mobilna aplikacja Google+ bez zgody uploaduje zdjęcia na serwer

Odkryliśmy wczoraj błąd aplikacji mobilnej Google+, który jest poważnym naruszeniem prywatności. Gigant z Mountain View potrafi bez zgody użytkowników pobrać na swoje serwery... zdjęcia i zrzuty ekranu wykonane telefonem z Androidem. Chociaż Google wie o problemie już od kilku miesięcy, to nadal nie załatał luki, mimo wydania już kilku aktualizacji programu i wprowadzenia szeregu nowych funkcji.

Wiele mówi się o zagrożeniach prywatności w serwisach społecznościowych i wykradaniu danych ze smartfonów. Często oskarżani są o to zarówno Google, jak i Facebook. W każdej aplikacji, zarówno mobilnej i webowej, ma prawo pojawić się błąd, ale brak załatania luki przez kilka miesięcy, mimo otrzymania i potwierdzenia zgłoszenia, jest niedopuszczalny. A tak to wygląda w przypadku Google. Aplikacja mobilna Google+ na Androida, mimo braku zgody na autoupload zdjęć na swoje serwery, i tak wysyła je w tle.

Autowysyłanie zdjęć

Oficjalna aplikacja mobilna do obsługi serwisu Google+ posiada w założeniu bardzo ciekawe udogodnienie. Użytkownicy mogą włączyć opcję automatycznego wysyłania zdjęć wykonanych aparatem w telefonie do usługi Google Picasa. Dzięki czemu nie trzeba przenosić samodzielnie zdjęć z pamięci telefonu do komputera, ponieważ są one dostępne od razu z interfejsu Google+ za pomocą przeglądarki internetowej. Umieszczane są w prywatnym albumie, i z jego poziomu możemy je udostępnić w naszym strumieniu lub usunąć z serwera. Wraz z wprowadzeniem Wydarzeń w najnowszej wersji Google+ (wraz z premierą nowego tabletu Nexus 7 na konferencji Google I/O) pojawiło się także tzw. party mode (tryb imprezy). Jeśli dane Wydarzenie, w którym bierzemy udział, właśnie trwa, to zdjęcia zrobione przez wszystkich jego użytkowników trafiają automatycznie do specjalnej galerii na wspólnej stronę eventu w kolejności chronologicznej.

Autoprzesyłanie było wyłączone

Autoprzesyłanie było wyłączone

Mimo wielu zalet tego rozwiązania autoupload zdjęć nie zawsze jest pożądany. Nie każdy użytkownik jednak ma potrzebę używania tej funkcji, a powodów może być kilka, np:

> Podczas transferu zdjęć w wysokiej rozdzielczości przez sieć 3G jesteśmy narażeni na wysokie koszta transferu

> To samo tyczy się korzystania z połączenia WiFi udostępnionego przez mobilny router MiFi, który też korzysta z karty SIM

> Wysyłanie zdjęć, nawet przez stacjonarną sieć WiFi, powoduje większe zużycie prądu

> Są alternatywne możliwości automatycznego uploadu zdjęć, jak np. aplikacja Dropbox.

Wyłączenie usługi jej wcale nie blokuje

W naszym przypadku powód, dla którego nie korzystamy z funkcji automatycznego udostępniania zdjęć, jest jeszcze inny. W ciągu dnia wykonujemy po prostu bardzo dużo testowych zdjęć różnymi smartfonami. Nie mamy potrzeby wysyłać ich w tle na serwer, wygodniejsze jest ich ręczne przejrzenie i wybranie najlepszych z poziomu smartfona. Z tego powodu bardzo zaskoczył nas wczorajszy komunikat mobilnej aplikacji Google+, która sama z siebie i bez naszej zgody wysłała na serwer Google wykonany telefonem screenshot. Powtórzyliśmy to kilka razy, i kolejne screenshoty trafiły do albumu. Całe szczęście jest to, jak wspomnieliśmy wyżej, album prywatny, ale nie zmienia to faktu, że ustawienia aplikacji jasno mówiły o tym, że nie wyrażamy zgody na ich przesył.

Powiadomienie, które nas zaskoczyło

Powiadomienie, które nas zaskoczyło

Google wie o problemie, i nic z tym nie robi

Z reguły w takich przypadkach najpierw kontaktujemy się z twórcą aplikacji poprzez email, aby spytać go o przyczynę zaistniałego problemu - czy jest to jednorazowy błąd, czy może wina leży po naszej stronie. Niestety w sklepie Google Play w przypadku aplikacji Google+ nie znaleźliśmy adresu e-mail, pod którym mogliśmy się skontaktować. Google przekierowuje za to na stronę internetową pomocy oraz do swojej grupy dyskusyjnej. Po kilku minutach szperania w podlinkowanym miejscu znaleźliśmy wpis, który raportował ten sam problem. Pochodził on z 19 kwietnia, czyli od momentu zgłoszenia minęło przynajmniej prawie 3 miesiące - możliwe jest, że Google sygnały dostawał nawet wcześniej.

Ustawienia Google+

Ustawienia Google+

Nowe wersje, brak poprawy

Krótka lektura tego wątku, a także wymiana zdań z użytkownikami serwisu Google+ pokazuje, że jest to dość szeroki problem i nie jest zależny od konkretnego urządzenia lub konkretnej wersji oprogramowania. Co prawda osoba oznaczona jako Pracownik Google odpowiadała użytkownikom, jednak na kolejnego posta w wątku trzeba było czekać kilka, a nawet kilkanaście dni i dopiero 30 czerwca ta osoba przyjęła do wiadomości zgłoszenie błędu. Od pierwszego zgłoszenia Google zaktualizował dwukrotnie aplikację mobilną. Był więc czas na testowanie nowego layoutu i wprowadzenie nowych funkcji, takich jak Wydarzenia, ale ekipa odpowiedzialna za rozwój aplikacji zdecydowała, że naprawa błędu pobierającego bez zgody zdjęcia użytkowników nie jest sprawą priorytetową.

Aby wyłączyć autoprzesyłanie na dobre, trzeba przejść do ustawień konta

Aby wyłączyć autoprzesyłanie na dobre, trzeba przejść do ustawień konta

Nie tylko Google

Ostatnim razem wykryliśmy też dość poważny błąd na portalu Facebook, który mógł prowadzić do udostępnienia naszych prywatnych albumówzdjęć ze zdjęciami niepowołanym osobom. Był to (i nadal jest, bo nie został poprawiony!) błąd programistów portalu Marka Zuckerberga, ale tyczył się on zdjęć świadomie wysłanych wcześniej na serwer Facebooka przez użytkownika. W przypadku Google jest gorzej - pobiera on na swoje serwery zdjęcia, na wysłanie których użytkownik nie wyraził żadnej zgody! A skoro Google dopuścił się takiego naruszenia, to jaką możemy mieć gwarancję, że ten “prywatny album", do którego trafiły zdjęcia udostępnione przez mobilną aplikację, nagle w wyniku błędu nie stanie się widoczny w całym internecie?

Nadszarpnięte zaufanie

Pragniemy uspokoić użytkowników: wygląda na to, że nawet ten “niepożądany" upload zdjęć można wyłączyć. Aby tego dokonać, należy w smartfonie wejść w Ustawienia > Konta i synchronizacja > Google i tutaj odznaczyć aplikację “Autoprzesyłanie". Co ciekawe, wyłączenie opcji autouploadu z poziomu aplikacji Google+ nie ma wpływu na to ustawienie, które teoretycznie dotyczy tej samej funkcji. Od wczoraj, czyli od czasu wyłączenia autoprzesyłania w menu Konta i Synchronizacja żadne z naszych zdjęć nie trafiło do Google - jednak nie dajemy gwarancji, że to ustrzeże zdjęcia w telefonie przed przesłaniem ich w tle. Skoro raz Google ściągnęło do siebie zdjęcia bez naszej wiedzy i zgody, może zrobić to znów. A nasze zaufanie do Google zostało nadszarpnięte.


Zobacz również