Penelitian dari akademisi terkemuka menunjukkan bahwa pengguna Android memiliki cookie iklan dan perangkat lain yang bekerja untuk membangun profil mereka bahkan sebelum mereka membuka aplikasi pertama mereka.
Doug Leith, profesor dan ketua sistem komputer di Trinity College Dublin, yang melakukan penelitian ini, mengklaim dalam tulisannya bahwa tidak ada persetujuan yang diminta untuk berbagai pengidentifikasi dan tidak ada cara untuk menolak menjalankannya.
Dia menemukan berbagai mekanisme yang beroperasi pada sistem Android yang kemudian menyampaikan data kembali ke Google melalui aplikasi yang sudah diinstal sebelumnya seperti Google Play Services dan Google Play Store, semuanya tanpa pengguna harus membuka aplikasi Google.
Salah satunya adalah cookie “DSID”, yang dijelaskan oleh Google dalam dokumentasinya digunakan untuk mengidentifikasi “pengguna yang masuk di situs web non-Google sehingga preferensi pengguna untuk iklan yang dipersonalisasi dapat dihargai.” Cookie “DSID” bertahan selama dua minggu.
Berbicara tentang deskripsi Google dalam dokumentasinya, penelitian Leith menyatakan bahwa penjelasannya masih “agak kabur dan tidak membantu,” dan masalah utamanya adalah tidak ada persetujuan yang diminta dari Google sebelum melepaskan cookie dan juga tidak ada fitur untuk menolak.
Leith mengatakan bahwa kuki iklan DSID dibuat tak lama setelah pengguna masuk ke akun Google mereka – bagian dari proses pengaktifan Android – dengan berkas pelacakan yang ditautkan ke akun tersebut ditempatkan ke dalam folder data aplikasi Google Play Service.
Cookie DSID ini “hampir pasti” merupakan metode utama yang digunakan Google untuk menautkan analitik dan peristiwa periklanan, seperti klik iklan, ke pengguna individu, tulis Leith dalam makalahnya [PDF].
Pelacak lain yang tidak dapat dihapus setelah dibuat adalah Google Android ID, sebuah pengenal perangkat yang ditautkan ke akun Google pengguna dan dibuat setelah koneksi pertama yang dibuat ke perangkat oleh Google Play Services.
ID ini terus mengirimkan data tentang perangkat kembali ke Google bahkan setelah pengguna keluar dari akun Google mereka dan satu-satunya cara untuk menghapusnya, dan datanya, adalah dengan mengatur ulang perangkat ke pengaturan awal.
Leith mengatakan bahwa dia tidak dapat memastikan tujuan dari pengenal tersebut, tetapi makalahnya mencatat sebuah komentar kode, yang mungkin dibuat oleh pengembang Google, yang mengakui bahwa pengenal ini dianggap sebagai informasi yang dapat diidentifikasi secara pribadi (PII), yang mungkin membawanya ke dalam cakupan hukum privasi Eropa GDPR – yang sebagian besar masih utuh dalam hukum Inggris sebagai GDPR Inggris.
Makalah ini merinci berbagai pelacak dan pengidentifikasi lain yang dijatuhkan oleh Google ke perangkat Android, semuanya tanpa persetujuan pengguna dan menurut Leith, dalam banyak kasus, hal ini menimbulkan kemungkinan pelanggaran hukum perlindungan data.
Leith mendekati Google untuk meminta tanggapan sebelum mempublikasikan temuannya, yang ia tunda untuk memberikan waktu untuk berdialog.
Penelitian ini menceritakan pertukarannya dengan raksasa teknologi tersebut.
Dia menulis: “Mereka memberikan tanggapan singkat, menyatakan bahwa mereka tidak akan mengomentari aspek hukum (mereka tidak diminta untuk mengomentari hal ini). Mereka tidak menunjukkan kesalahan atau pernyataan yang salah (yang diminta untuk dikomentari). Mereka tidak menanggapi pertanyaan kami tentang apakah mereka berencana untuk membuat perubahan apa pun pada cookie, dll., yang disimpan oleh perangkat lunak mereka.”
Seorang juru bicara Google mengatakan kepada The Register: “Laporan ini mengidentifikasi sejumlah teknologi dan alat Google yang mendukung cara kami menghadirkan produk dan layanan yang bermanfaat bagi pengguna kami.
“Peneliti mengakui dalam laporan tersebut bahwa mereka tidak memenuhi syarat secara hukum, dan kami tidak setuju dengan analisis hukum mereka. Privasi pengguna adalah prioritas utama bagi Android dan kami berkomitmen untuk mematuhi semua hukum dan peraturan privasi yang berlaku.”
Temuan ini muncul di tengah-tengah keributan baru-baru ini tentang proses lain yang disebut Android System SafetyCore – yang hadir dalam pembaruan terbaru untuk perangkat yang menjalankan Android 9 dan yang lebih baru. Proses ini memindai gambar yang dikirim dan diterima pengguna, tetapi bukan perpustakaan foto perangkat itu sendiri, untuk mencari gambar eksplisit dan menampilkan peringatan konten sebelum pengguna melihatnya. Google mengatakan “klasifikasi konten berjalan secara eksklusif di perangkat Anda dan hasilnya tidak dibagikan dengan Google.”
Tentu saja, ini juga akan membawa teknologi yang serupa dengan Google Messages di masa mendatang untuk mencegah gambar-gambar tertentu yang tidak diinginkan mempengaruhi penerima.
Google mulai memasang SafetyCore pada perangkat pengguna pada bulan November 2024, dan tidak ada cara untuk menolak atau mengelola penginstalannya. Suatu hari, aplikasi ini ada begitu saja.
Para pengguna telah melampiaskan kekesalan mereka tentang SafetyCore sejak saat itu dan meskipun mereka dapat menghapus instalasi dan tidak memilih pemindaian gambar, pendekatan tanpa persetujuan yang berjalan di seluruh Android tetap membuat sebagian pengguna kesal.
Aplikasi ini dapat dihapus pada garpu Android seperti MIUI Xiaomi menggunakan
- Pengaturan> Aplikasi> Sistem Android SafetyCore> Copot Pemasangan atau di Android menggunakan Aplikasi / Aplikasi & Pemberitahuan> Tunjukkan Aplikasi Sistem> Tunjukkan aplikasi sistem> Temukan SafetyCore> Copot Pemasangan atau Nonaktifkan.
Para pengulas melaporkan bahwa dalam beberapa kasus, opsi uninstall berwarna abu-abu, dan hanya bisa dinonaktifkan, sementara yang lain mengeluh bahwa aplikasi ini menginstal ulang pada pembaruan berikutnya.
Halaman Google Play aplikasi ini dipenuhi dengan ulasan negatif, banyak di antaranya menyebutkan bahwa penginstalannya dilakukan tanpa persetujuan.
“Singkatnya, ini adalah perangkat mata-mata. Kami tidak diberi tahu. Rasanya seperti hak privasi berada di urutan kedua setelah kepentingan perusahaan Google,” tulis salah satu pengulas