Не успел закончиться первый месяц 2019 года, как Facebook в очередной раз оказалась в центре внимания. В середине январе сотрудников компании успели обвинить в завышении оценок на «умные» дисплеи Facebook Portal и Portal+, размещённые на Amazon, а 25-го числа в Сети появилась информация о масштабной задумке самого Марка Цукерберга — объединении Messenger, Instagram и WhatsApp. Сейчас Facebook вновь обвиняют в слежке за пользователями, но в этот раз с их разрешения. Компания платила людям в возрасте от 13 до 35 лет за установку VPN-сервиса Facebook Research, который позволяет следить за всеми телефонными и веб-активностями юзера. Цена вопроса — до $20 в месяц плюс реферальные сборы.
Одной установкой дело не заканчивалось. Facebook также просила делать скриншот страниц истории заказов Amazon, сообщает «Профиль» со ссылкой на TechCrunch. Программа управляется через службы бета-тестирования Applause, BetaBound и uTest, таким образом Facebook скрывала свою вовлечённость. Эксперт по безопасности Уилл Страфач, изучив приложение, отметил, что компания получает практически неограниченный доступ к устройству.
«Если Facebook полностью использует тот уровень доступа, который им дают после установки Сертификата, то они получают возможность непрерывно собирать данные следующих типов: личные сообщения в приложениях социальных сетей, чаты в приложениях для обмена мгновенными сообщениями, в том числе фото/ видео, электронные письма, веб-поиск, просмотр веб-страниц и даже информацию о том, где сейчас находится человек, благодаря любым установленным приложениям для отслеживания местоположения», — заявил Страфач.
Компания искала «тестировщиков» посредством рекламы. Например, через Instagram и Snapchat разработчики разыскивали подростков от 13 до 17 лет для «платного исследования в социальных сетях». В вышеупомянутой BetaBound пользователей завлекали лёгкими деньгами — $20 за установку и ещё $20 за «приглашённого друга». Через Applause компания, не упоминая своего названия, приглашала пользователей от 13 до 35 лет. Лицам младше 17 лет требовалось получить согласие родителей с помощью специальной формы, которая и упоминала о связи с Facebook. В ней говорилось, что нет никаких известных рисков, связанных с проектом, однако мамы или папы признают, что «неотъемлемая цель проекта связана с отслеживанием личной информации с помощью приложений ребенка». В конце пользователям сообщали, что за участие детей и подростков Applause выплатит родителям денежную компенсацию.
Страфачу удалось выяснить, куда уходят данные из Facebook Research. Они перенаправляются на «vpn-sjc1.v.facebook-program.com», который связан с IP-адресом Onavo (о ней читайте ниже), и что домен facebook-program.com зарегистрирован в Facebook, согласно MarkMonitor. Приложение может обновляться без взаимодействия с App Store и связано с адресом электронной почты PeopleJourney@fb.com.
«Сложно узнать, какие данные на самом деле сохраняет Facebook (без доступа к их серверам). Единственная известная информация — это уровень доступа Facebook, основываясь на коде в приложении. Вырисовывается очень тревожная картина. Они могут ответить и заявить, что фактически хранят только очень ограниченные данные, и это может быть правдой, всё сводится к тому, насколько вы доверяете словам Facebook», — заметил эксперт.
TechCrunch связалась с Facebook, и её представитель прокомментировал ситуацию. Он подтвердил, что основная задача программы — узнать, как люди используют свои телефоны и другие услуги. При этом Facebook не скрывает, какие типы данных она собирает, но этой информацией она не делится с другими, и «люди могут прекратить участие в любое время».
Представитель Facebook также заявил, что приложение Facebook Research соответствует программе Apple Enterprise Certificate. Однако объяснить, каким образом, он не смог, хотя у журналистов и имеются доказательства обратного. Кроме того, по утверждению компании, Onavo и Facebook Research — это две отдельные программы, но в то же время в компании признали, что над ними работала одна и та же команда.
«Код в этом приложении для iOS четко указывает на то, что это просто плохо переработанная сборка запрещенного приложения Onavo, в настоящее время использующая сертификат, принадлежащий Facebook. Это является прямым нарушением правил Apple, что позволяет Facebook распространять это приложение без проверки со стороны корпорации стольким пользователям, скольким они хотят», — сообщил Страфач.
После публикации материала Facebook сообщила TechCrunch, что закроет iOS-версию приложения Research.
Бизнес Facebook, связанный с отслеживанием данных, начался именно с Onavo в 2014 году, когда тель-авивскую компанию мобильной аналитики купили примерно за 120 млн долларов. VPN-приложение помогло пользователям отслеживать и минимизировать использование своего мобильного тарифного плана, а также предоставило Facebook глубокую аналитику о том, какие другие приложения они используют. Внутренние документы, попавшие к BuzzFeed News, показывают, что Facebook смог использовать Onavo, чтобы сравнить между собой WhatsApp и Facebook Messenger. Так, в первом количество отправленных сообщений в день оказалось больше, чем во втором мессенджере. Таким образом Onavo помог Facebook убедиться в том, что WhatsApp стоит потраченных на него 19 млрд долларов.
Позже компания начала продвигать Onavo Protect, вокруг которого и разгорелся скандал в марте 2018 года. Тогда Уилл Страфач посвятил приложению обличительную заметку. В ней он рассказал, что Onavo Protect сообщает Facebook, когда экран пользователя включен или выключен, а также об использовании Wi-Fi и сотовых данных в байтах, даже когда VPN отключен. В июне того же года Apple обновила политику AppStore — теперь приложениям запрещалось собирать информацию об использовании других приложений или данные, которые не нужны для его работы. В августе Facebook сообщила, что Onavo Protect нарушает новые правила и соцсети придётся удалить его из AppStore, что в итоге и произошло. Что насчёт Google Play, то там приложение всё ещё доступно пользователям, а количеств установок преодолело отметку в 10 млн.
