Android-telefoner har samlat in och skickat krypterad platsinformation till Google utan tillstånd, även när platstjänster är inaktiverade, upptäckte Quartz tisdag.
Tydligen hittade Google ett sätt att spåra plats även om användaren aktivt har stängt av lokationstjänster, inte har använt några appar och inte ens har satt i ett SIM-kort för operatören.
Så snart telefonen ansluter till Internet skickas platsdata tillbaka till Google.
Även enheter som hade återställts till fabriksinställningar och appar, med platstjänster inaktiverade, observerades av kvarts som skickade närliggande celltornadresser till Google. Enheter med mobildata eller Wi-Fi-anslutning verkar sända data till Google varje gång de kommer inom räckvidden för ett nytt celltorn. När Android-enheter är anslutna till ett Wi-Fi-nätverk skickar de tornadresserna till Google även om de inte har SIM-kort installerade.
Detta har pågått i minst elva månader.
Enligt sökjätten, som har bekräftat denna platsspårningspraxis, samlar Android-telefoner in adresserna till närliggande celltorn som en del av systemet som företaget använder för att hantera pushmeddelanden och meddelanden på Android-mobiltelefoner.
Konsumenter kan för närvarande inte inaktivera den här tjänsten, men företaget försäkrade sekretessinriktade användare om att platsdata aldrig användes eller lagrats på sina servrar:
I januari i år började vi undersöka att använda Cell ID-koder som en ytterligare signal för att ytterligare förbättra hastigheten och prestanda för meddelandeleverans. Vi har emellertid aldrig integrerat Cell ID i vårt nätverkssynkroniseringssystem, så att data omedelbart kastades, och vi uppdaterade dem för att inte längre begära Cell ID.
Talesmannen tilllade att appar och annonsörer inte kan komma åt användarnas platsdata eftersom systemet som styr Googles push-meddelanden och meddelandetjänster är "tydligt åtskilt från Location Services, som ger en enhets plats till appar."
Mountain View-företaget vidtar nu åtgärder för att avsluta praxis efter att ha kontaktats av Quartz och säger att Android-telefoner inte längre kommer att skicka platsinformation om celltorn till sina servrar. Med andra ord, denna kontroversiella praxis skulle ha fortsatt för Gud vet hur länge hade Google inte fångats med sina händer i burken.
Platsspårning utan tillstånd utgör en säkerhetsrisk, varnar forskare, särskilt för personer som brottsbekämpande tjänstemän eller offer för inhemska övergrepp som stänger av lokationstjänster och tror att de helt döljer sin vistelseort.
Enligt Quartz-artikeln kan spionprogram och olika hacks enkelt tillåta en avskämd part att ladda upp all insamlad platsinformation från en komprometterad telefon till en tredjepartsserver. Eftersom varje Android-telefon har ett unikt ID kan data kopplas till specifika enheter.
