______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Facebook платит подросткам за установку на их смартфоны шпионского VPN-сервиса

Жадная до пользовательских данных Facebook тайно платит пользователям за установку VPN-приложения Facebook Research, позволяющего компании отслеживать всю их активность на телефоне и в Сети. Ранее Facebook уже делала нечто подобное с приложением Onavo Protect, которое Apple удалила из App Store прошлым летом. Теперь компания решила пойти в обход «яблочного» магазина приложений и стала предлагать вознаграждение за установку Facebook Research и предоставление доступа к сетевому трафику.

Как сообщает TechCrunch, с 2016 года Facebook платит пользователям в возрасте от 13 до 35 лет до $20 в месяц (плюс реферальная плата) за доступ к их данным через iOS- или Android-приложение. Более того, Facebook даже просит пользователей делать скриншоты страниц истории заказов на Amazon.

Facebook Research активно рекламировалось в Instagram и Snapchat, в основном ориентируясь на аудиторию от 13 до 17 лет (для несовершеннолетних требовалось согласие родителей). Пользователям предлагали принять участие в «оплачиваемом научном исследовании социальных медиа». Справедливости ради нужно сказать, что хотя на странице Applause до последнего не упоминалась Facebook, пользователей все же информировали о том, что приложение получит доступ к самым разным данным.

Фактически, приложение могло добраться до любой информации на устройстве: приватных сообщений в мессенджерах и социальных медиа (включая фото и видео), электронных писем, истории поиска, браузинговой активности, информации о местоположении пользователя (если тот взаимодействовал с любым другим приложением, отслеживающим местонахождение). Неясно, какие именно данные на самом деле собирало решение Facebook (этого не понять, без доступа к серверам социальной сети), но исследователи подчеркивают, что оно имело практически неограниченный доступ и в теории могло делать, что угодно.

Известно, что собранные данные передавались на адрес vpn-sjc1.v.facebook-program.com, ранее связанный с Onavo. Хуже того, приложение могло обновляться с обход App Store.

В Facebook расследование журналистов прокомментировали так:

«Как и многие другие компании мы приглашаем людей поучаствовать в исследовании, которое помогает нам определить, что мы может улучшить. Так как данное исследование направлено на то, чтобы Facebook могла лучше понимать, как люди пользуются своими мобильными устройствами, мы предоставляем пользователям подробную информацию о том, какие данные будут собраны и чему именно это поможет. Мы не делимся этими данными с другими, и пользователи могут прекратить участвовать в программе в любой момент».

Конфликт с Apple

Интересно, что сразу после публикации результатов расследования, представители Facebook заявили, что Facebook Research не нарушало условия использования enterprise-сертификатов Apple, а Onavo и Facebook Research вообще ничто не связывает.

Журналисты TechCrunch отметили, что слова представителей социальной сети прямо противоречат правилам Apple. Так, подписанные enterprise-сертификатами приложения могут иметь хождение только внутри компании. И спустя всего 7 часов после публикации материала, Facebook вдруг поменяла свою точку зрения и спешно свернула работу Facebook Research для iOS (позже в Apple заявили, что забанили приложение даже раньше этого). При этом в компании еще раз подчеркнули, что приложение ни за кем не «шпионило», пользователей подробно и открыто информировали о сборе данных, и все участники программы знали, на что идут.

Вряд ли кого-то удивит, что представителям Apple поведение Facebook в итоге остро не понравилось, тем более, что Тим Кук неоднократно публично критиковал социальную сеть за то, что та собирает данные о пользователях.

В итоге Apple вообще отозвала enterprise-сертификат Facebook. Сообщается, что это уже «сломало» приложения, которыми 33 000 сотрудников социальной сети, как и положено, пользовались внутри компании, включая бета-версии Facebook и Instagram, а также решения для управления различной офисной рутиной.

В Apple дали следующий комментарий:

«Наша Enterprise Developer Program создана исключительно для внутреннего распространения приложений в пределах организации. Facebook использовала свое членство в программе для распространения приложений, собирающих информацию о пользователях, что является прямым нарушением договоренностей с Apple. Любой разработчик, использующий enterprise-сертификаты для распространения приложений среди пользователей, закончит тем, что его сертификаты будут отозваны, что мы и сделали в данном случае, чтобы защитить наших пользователей и их данные».

А что же Google?

Представители Google пока никак не отреагировали на ситуацию вокруг Facebook Research. Дело в том, что параллельно с этим скандалом также стало известно, что поисковый гигант и сам практикует подобные действия в отношении пользователей iOS.

Исследователи обнаружили приложение Screenwise Meter, существующее с 2012 года. Оно точно так же использовалось для исследования поведения пользователей от 13 лет и старше (до 18 лет требовалось согласие родителей), а за участие в программе пользователей вознаграждали подарочными сертификатами. Проблема в том, что Screenwise Meter тоже было подписано enterprise-сертификатом.

Когда журналисты TechCrunch связались с Google и попросили прокомментировать происходящее, в компании заверили, что срочно отключат приложение на iOS-устройствах и выведут из программы Enterprise Developer, так как, оказывается, приложение использовало enterprise-сертификат по ошибке.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх