Onderzoekers van het Ierse Trinity College maken zich zorgen over het Google Play-onderdeel waarvan verschillende corona-apps gebruikmaken, omdat hierdoor data van gebruikers bij Google terechtkomt. Voor het onderzoek keken de onderzoekers naar de Duitse, Italiaanse, Zwitserse, Oostenrijkse, Spaanse, Poolse, Letse en Ierse corona-apps.

Deze apps bestaan uit twee onderdelen. Een app die door de gezondheidsautoriteit in het betreffende land is ontwikkeld en de Google/Apple Exposure Notification (GAEN) service. Deze service van Apple en Google zorgt voor interoperabiliteit tussen Android- en iOS-toestellen die van bluetooth corona-apps gebruikmaken. Via de apps kunnen gebruikers hun contacten bijhouden en worden gewaarschuwd wanneer ze met een coronapatiënt in contact zijn gekomen of laten weten wanneer ze zelf besmet zijn geraakt.

Op Androidtoestellen wordt de service beheerd door Google en is onderdeel van Google Play Services. De onderzoekers maken zich zorgen over dit onderdeel. Zelfs bij een "privacybewuste" configuratie maakt Google Play Services elke twintig minuten verbinding met de servers van Google. Hierbij wordt het ip-adres van de telefoon doorgegeven. Daarnaast bevatten de requests die naar Google gaan "persistent identifiers" waardoor requests van hetzelfde adres aan elkaar zijn te koppelen. Zo zou het mogelijk zijn voor Google om een telefoon in de loop van de tijd nauwkeurig te volgen, zo stellen de onderzoekers.

Wanneer de "Usage & diagnostics" optie in Google Play Services staat ingeschakeld, wat standaard het geval is, zullen telemetriegegevens over het GAEN-gebruik naar Google worden gestuurd. Het gaat dan om het IMEI en hardware serienummer van de telefoon, telefoonnummer, wifi mac-adres en e-mailadres van de gebruiker met Google, alsmede informatie over de apps die op het toestel draaien. Gecombineerd met de mogelijkheid om gebruikers nauwkeurig te volgen is het volgens de onderzoekers lastig om een meer indringende dataverzamelingssetup voor te stellen.

Deze informatie wordt alleen door het inschakelen van Google Play Services verzameld, zelfs wanneer alle andere Google-services en instellingen zijn uitgeschakeld, gaan de onderzoekers verder. "Het lijkt daardoor onvermijdbaar voor gebruikers van GAEN-gebaseerde corona-apps op Android. Dit niveau van inbreuk lijkt niet te verenigen met de oproep voor algeheel gebruik door de bevolking", zo merken ze op. Volgens de onderzoekers is het Google Play Services-onderdeel van de corona-apps vanuit een privacystandpunt gezien dan ook "verontrustend".

Google laat in een reactie aan de onderzoekers weten dat het verzamelen van telemetriegegevens gebruikelijk binnen de industrie is en dat gebruikers via "Usage & diagnostics" het verzamelen van telemetriedata deels kunnen uitschakelen. Wanneer gebruikers de optie uitschakelen worden er inderdaad geen GAEN-telemetriegegevens met Google gedeeld, zo stellen de onderzoekers vast.

In hun rapport doen de onderzoekers drie aanbevelingen. Ten eerste moet er documentatie komen hoe Google Play Services op een zo'n privacyvriendelijke manier kan worden ingesteld bij het gebruik van een corona-app. Daarnaast moet het delen met Google eenvoudig zijn uit te schakelen en moeten overheden de governance van het GAEN-systeem herzien. De corona-apps zelf zijn namelijk goed onderzocht, maar dat geldt niet voor het GAEN-gedeelte, merken de onderzoekers op (pdf).