Klávesnice na vašem Androidu zapisuje každé písmeno a posílá to Googlu. V bezpečí nejsou ani hesla
Gboard, nejrozšířenější klávesnice na Androidu s více než 10 miliardami stažení, při každém psaní generuje a odesílá signály do Googlu.
Obsah článku
Google oficiálně tvrdí, že Gboard neposílá „nic z toho, co píšete, žádná hesla ani žádné chaty s přáteli“. Jenže nezávislá analýza z Trinity College Dublin a akademická práce z roku 2022 ukazují složitější obrázek. Každá psací relace na Gboardu generuje metadata: délku slov, počet napsaných a smazaných znaků, název aplikace, ve které zrovna píšete, přesné časové razítko a identifikátor vašeho zařízení. To všechno putuje na servery Googlu. Na Androidu je navíc ve výchozím nastavení zapnuté takzvané federované učení (federated learning), které z telefonu odesílá modelové aktualizace odvozené z napsaného textu. Výzkumníci prokázali, že z těchto aktualizací lze s vysokou přesností rekonstruovat konkrétní slova i jejich pořadí ve větě. Neznamená to, že Gboard odesílá hesla v čitelné podobě, ale ukazuje to, že přenášené informace mohou prozradit více, než by většina uživatelů očekávala. Gboard tedy nefunguje jako klasický keylogger, který odesílá stisknuté klávesy jednu po druhé, ale signály, které přenáší, mohou v součtu odhalit překvapivě mnoho.
Co přesně Gboard odesílá a co říká Google
Podle sekce Data Safety na Google Play Gboard sbírá zvuková data, aktivitu v aplikacích, identifikátory zařízení a diagnostická data. Google uvádí tři hlavní důvody: vyhledávací dotazy odesílá kvůli zobrazení výsledků, hlasový vstup kvůli přepisu řeči a „statistiky používání“ kvůli zlepšování funkcí a řešení pádů aplikace.
Problém je v tom, co se pod pojmem „statistiky používání“ skutečně skrývá. Výzkumník z Trinity College Dublin použil rootnutý telefon s Androidem, Raspberry Pi jako přístupový bod a nástroj mitmproxy, aby analyzoval HTTPS komunikaci Gboardu. V zachycených datech našel:
- Android ID a hardwarové identifikátory zařízení
- přesná časová razítka každé psací relace
- název aplikace, ve které uživatel psal
- délku jednotlivých slov a způsob zadávání textu
- počet napsaných a smazaných znaků
- dobu psaní a použité jazyky
Samotný obsah textu ani jednotlivé znaky v běžné telemetrii nenašel. Přepínač „Share usage statistics“ však byl ve výchozím nastavení zapnutý, aniž by bylo jasně vysvětleno, co všechno zahrnuje. Teprve po jeho vypnutí se objem odesílaných dat výrazně snížil.
Federované učení je údajně bezpečnější
Google popisuje federované učení jako bezpečnější přístup: model se učí přímo v telefonu a na server neodesílá samotný text, ale pouze modelové aktualizace. Ty se přenášejí typicky při nabíjení zařízení, přes Wi-Fi a mimo aktivní používání telefonu.
Akademická práce publikovaná na arXiv ale upozornila na důležitou slabinu. Výzkumníkům se podařilo ukázat, že gradienty a modelové aktualizace používané při predikci dalšího slova mohou obsahovat dostatek informací k tomu, aby z nich bylo možné s vysokou přesností odvodit napsaná slova, a dokonce i jejich pořadí ve větě. Jinými slovy: Google technicky neposílá samotný text, ale matematickou reprezentaci, ze které lze za určitých okolností část textu rekonstruovat.
Tady se dostáváme k otázce hesel. Rešerše nenašla důkaz, že by aktuální verze Gboardu v roce 2026 běžně odesílala obsah heslových polí v čitelné podobě. Pokud by se však federované učení vztahovalo i na citlivé textové vstupy, akademický výzkum ukazuje, že určité riziko teoreticky existuje. Nejde tedy o potvrzený únik hesel, ale o scénář, který si zaslouží pozornost.
Evropský rozměr: GDPR a česká stopa
Pro uživatele v Evropském hospodářském prostoru je správcem dat Google Ireland Limited. Čeština patří mezi oficiálně podporované jazyky Gboardu a čeští uživatelé podléhají stejným pravidlům jako ostatní uživatelé v Evropě. Google zároveň uvádí, že data může zpracovávat na serverech po celém světě. Garanci, že data evropských uživatelů zůstávají výhradně v Evropské unii, se veřejně dohledat nepodařilo.
Z pohledu GDPR je situace přinejmenším diskutabilní. Nařízení považuje online identifikátory za osobní údaje a vyžaduje jasné informace o účelu zpracování, kategoriích dat, době uchování, příjemcích i případných přenosech mimo EU. Obecný popis „statistik používání“, který kritizuje i Trinity College Dublin, podle některých odborníků nemusí být dostatečně konkrétní. Konečné posouzení by ale příslušelo regulátorovi nebo soudu.
SwiftKey sbírá podobně
Gboard není výjimkou. Microsoft u klávesnice SwiftKey uvádí, že při zapnuté volbě „Help Microsoft improve“ může odesílat anonymizované úryvky krátkých frází spolu s údaji o stiscích kláves, mazání textu a dalších úpravách. Pokud je uživatel přihlášen ke svému účtu, synchronizují se do cloudu také části osobního slovníku. Trinity College Dublin u SwiftKey zaznamenala podobnou telemetrii: názvy aplikací, dobu psaní, počet znaků i identifikátor zařízení.
Rozdíl je především v rozsahu. Gboard díky federovanému učení vytváří bohatší soubor dat než klávesnice, které tuto technologii nepoužívají. A vzhledem k miliardám instalací je jeho dopad výrazně větší.
Jak sběr omezit, aniž byste přišli o rozum
Pokud chcete u Gboardu zůstat, můžete udělat několik kroků:
- Vypněte federované učení v nastavení Gboardu > Privacy (názvy položek se mohou lišit podle verze Androidu a výrobce telefonu).
- Vypněte funkci Audio donations.
- Vypněte „Share usage statistics“ – podle výzkumu Trinity College Dublin tím výrazně omezíte množství odesílaných metadat.
- Smažte naučená slova a data pomocí volby „Delete learned words & data“ v nastavení Gboardu.
Radikálnější možností je přechod na offline klávesnici. HeliBoard je open-source projekt, který nevyžaduje přístup k internetu, funguje kompletně offline a je dostupný přes F-Droid i GitHub. Nenabízí cloudovou predikci ani hlasové zadávání, ale právě proto nemá kam data odesílat. Na iPhonu lze Gboard odebrat přes Nastavení > Obecné > Klávesnice.
Gboard není keylogger v klasickém slova smyslu. Je to ale aplikace, která o vašem psaní shromažďuje více informací, než naznačují stručné popisy v nastavení. Akademický výzkum navíc ukázal, že z některých dat, která odesílá, lze za určitých okolností odvodit více, než by se na první pohled zdálo.