מחקר חדש מטריניטי קולג' בדבלין חושף כי משתמשי אנדרואיד נמצאים תחת מעקב של גוגל עוד לפני שהם מורידים אפליקציה אחת למכשירם. פרופ' דאג ליית', שערך את המחקר, טוען כי מערכת ההפעלה מפעילה מנגנוני מעקב שונים, כולל קבצי Cookie פרסומיים, ללא הסכמת המשתמש וללא אפשרות לבטל את הפעולה.
המחקר מצא כי נתונים מועברים לגוגל באמצעות אפליקציות מובנות כמו Google Play Services ו-Google Play Store, עוד לפני שהמשתמש פתח אפליקציה כלשהי של גוגל. אחד ממנגנוני המעקב הוא קובץ ה-"DSID Cookie", שאמור, על פי גוגל, לזהות משתמשים מחוברים באתרים שאינם של גוגל כדי להתאים להם פרסום אישי. עם זאת, ליית' מציין כי התיאור של גוגל אינו מספק וכי אין הסכמה מראש או אפשרות ביטול למעקב זה.
קובץ ה-DSID Cookie נוצר זמן קצר לאחר שהמשתמש מתחבר לחשבון הגוגל שלו, כחלק מתהליך ההפעלה של אנדרואיד, ומוצב בתיקיית הנתונים של Google Play Services. ליית' טוען כי קובץ זה הוא ככל הנראה השיטה העיקרית שבה גוגל מקשרת בין אירועי ניתוח ופרסום למשתמשים בודדים.
מזהה נוסף שאינו ניתן להסרה הוא Google Android ID, מזהה מכשיר המקושר לחשבון הגוגל של המשתמש ונוצר לאחר החיבור הראשון של Google Play Services למכשיר. מזהה זה ממשיך לשלוח נתונים לגוגל גם לאחר שהמשתמש התנתק מחשבון הגוגל שלו, והדרך היחידה להסירו היא איפוס מלא של המכשיר. ליית' מציין כי לא הצליח לקבוע את מטרת המזהה, אך מציין הערת קוד, ככל הנראה של מפתח בגוגל, המכירה בכך שמזהה זה נחשב למידע אישי מזהה (PII), מה שעשוי להכניס אותו לתחום החוק האירופי להגנת מידע (GDPR).
לפני פרסום ממצאיו, ליית' פנה לגוגל לקבלת תגובה. גוגל מסרה בתגובה כי היא מודעת לטכנולוגיות אלה וכי פרטיות המשתמשים היא בראש סדר העדיפויות שלה, וכי היא מחויבת לציית לכל חוקי הפרטיות הרלוונטיים. עם זאת, גוגל לא הגיבה לשאלות ספציפיות לגבי שינויים אפשריים במדיניות המעקב שלה.
ממצאים אלה מגיעים על רקע ביקורת ציבורית על תהליך נוסף בשם Android System SafetyCore, שהגיע בעדכון האחרון למכשירים המריצים אנדרואיד 9 ומעלה. SafetyCore סורק תמונות שנשלחו והתקבלו על ידי המשתמש, אך לא את ספריית התמונות של המכשיר עצמו, ומציג אזהרות תוכן לפני שהמשתמש צופה בהן. גוגל טוענת כי סיווג התוכן מתבצע באופן בלעדי במכשיר ושהתוצאות אינן משותפות עם גוגל. SafetyCore הותקן על מכשירי משתמשים בנובמבר 2024, ואין אפשרות לבטל את ההתקנה או לנהל אותה.
משתמשים הביעו את תסכולם לגבי SafetyCore, ולמרות שאפשר להסיר אותו ולבטל את סריקת התמונות, הגישה שלא מבקשת ההסכמה, שמאפיינת את אנדרואיד בכללותה, הכעיסה משתמשים רבים. דף ה-Google Play של האפליקציה מלא בביקורות שליליות, שרבות מהן מציינות את ההתקנה ללא הסכמה. אחד המבקרים כתב: "בקיצור, זו תוכנת ריגול. לא הודיעו לנו. זה מרגיש כאילו הזכות לפרטיות משנית לאינטרסים התאגידיים של גוגל".
