Исследователи из Тринити-колледжа в Дублине обнаружили, что пользователи Android сталкиваются с рекламными cookie-файлами и другими трекерами еще до того, как запустят первое приложение на своем устройстве.

В отчете профессора Тринити-колледжа и главы кафедры компьютерных систем Дага Лейта (Doug Leith) указывается, что пользователи не дают согласия на использование различных идентификаторов, а также не имеют возможности отказаться от их применения. Лейт выявил в Android механизмы, которые передают данные в Google через предустановленные приложения, такие как Google Play Services и магазин Google Play, даже если пользователь никогда не открывал эти приложения.

Одним из таких трекеров является cookie-файл DSID. Согласно документации Google, он используется для идентификации «авторизованного пользователя на сторонних веб-сайтах, чтобы учитывать его предпочтения в персонализированной рекламе». Срок действия DSID составляет две недели. Лейт отмечает, что описание этого механизма в документации Google оказалось неясным и малоинформативным. Однако главная проблема заключается в том, что Google не запрашивает согласия пользователя на установку этого файла и не предоставляет возможности отключить его. DSID создается сразу после входа пользователя в аккаунт Google (что является частью процесса настройки Android), вместе с трекером, который сохраняется в папке данных приложения Google Play Services.

По словам Лейта, DSID «практически наверняка» является ключевым инструментом, с помощью которого Google связывает аналитические и рекламные события, такие как клики по объявлениям, с конкретными пользователями. Еще один трекер, который невозможно удалить после создания, — это Google Android ID. Это идентификатор устройства, привязанный к аккаунту Google, который генерируется при первом подключении устройства к Google Play Services.

Он продолжает передавать данные о устройстве на серверы Google даже после выхода пользователя из аккаунта. Единственный способ избавиться от Google Android ID и связанных с ним данных — сбросить устройство до заводских настроек. Лейт отмечает, что точное назначение этого идентификатора ему установить не удалось, но он обнаружил в коде комментарий разработчика Google, который предполагает, что этот идентификатор относится к персональным данным и, вероятно, подпадает под действие Общего регламента по защите данных (GDPR) в Европе.

В исследовании также подробно описываются другие трекеры и идентификаторы, которые Google устанавливает на устройства Android без согласия пользователей. Лейт считает, что во многих случаях это может являться нарушением законодательства.