Facebook samlet enhetsdata på 187 000 brukere ved hjelp av forbudt snooping-app – TechCrunch


Facebook oppnådde personlige og sensitive enheten data på ca 187.000 brukere av sin nå-defunct Research app, som Apple utestengt tidligere i år etter at appen overtrådte sine regler.

Den sosiale media-giganten sa i et brev til Sen. Richard Blumenthals kontor – som TechCrunch fikk – at det samlet inn data på 31.000 brukere i USA, inkludert 4.300 tenåringer. Resten av innsamlede data kom fra brukere i India.

Tidligere i år oppdaget en TechCrunch-undersøkelse at både Facebook og Google misbrukte sine Apple-utstedte enterprise developer sertifikater, designet for å bare tillate ansatte å kjøre iPhone- og iPad-apper som bare brukes i selskapet. Undersøkelsen fant at selskapene ble bygd og leverte apps til forbrukere utenfor Apples App Store, i strid med Apples regler. Appene betalte brukere til gjengjeld for å samle inn data om hvordan deltakere brukte enhetene sine og forstå appvaner ved å få tilgang til alle nettverksdataene inn og ut av enheten.

Apple forbød appene ved å tilbakekalle Facebooks bedriftsutvikler sertifikat – og senere Googles virksomhetssertifikat. Ved å gjøre det, slo tilbakekallingen offline begge selskapers flåte av interne iPhone- eller iPad-apper som stod på de samme sertifikatene.

Men som svar på lovgiveres spørsmål, sa Apple at det ikke visste hvor mange enheter som installerte Facebooks regelbruddsprogram.

"Vi vet at provisjonsprofilen for Facebook Research-appen ble opprettet 19. april 2017, men dette er ikke nødvendigvis korrelert med datoen Facebook distribuerte provisjonsprofilen til sluttbrukere," sa Timothy Powderly, Apples direktør for føderale saker, i hans brev.

Facebook sa appen datert tilbake til 2016.

En del av Apples brev til lovgivere. (Bilde: TechCrunch)

TechCrunch fikk også brevene fra Apple og Google til lovgivere tidlig i mars, men ble aldri offentliggjort.

Disse "forskning" -applikasjonene stod på villige deltakere om å laste ned appen fra utenfor appbutikken, og bruk Apple-utstedte utvikler sertifikater for å installere appene. Deretter vil appene installere et rotnettverkssertifikat, slik at appen kan samle alle dataene ut av enheten – som nettleserhistorikk, krypterte meldinger og mobilappaktivitet – muligens også data fra vennene deres – for konkurransedyktig analyse.

Et svar fra Facebook om antall brukere involvert i Project Atlas (Bilde: TechCrunch)

I Facebook-saken var forskningsprogrammet – kalt Project Atlas – en ompakket versjon av sin Onavo VPN-app, som Facebook ble tvunget til å fjerne fra Apples App Store i fjor for å samle for mye enhetdata.

Bare denne uken lanserte Facebook sin forskningsapp som Study, bare tilgjengelig på Google Play og for brukere som har blitt godkjent gjennom Facebooks forskningspartner, Applaus. Facebook sa at det ville være mer gjennomsiktig om hvordan det samler brukerdata.

Facebooks visepresident for offentlig politikk Kevin Martin forsvarte selskapets bruk av bedriftssertifikater, og sa at det var "relativt kjent bransjepraksis." Når det ble spurt, kvantifiserte en Facebook-talsmann dette ikke lenger. Senere fant TechCrunch dusinvis av apper som brukte bedriftssertifikater for å unngå apparatet.

Facebook har tidligere sagt at "spesifikt ignorerer informasjon som deles via økonomiske eller helseprogrammer." I sin brev til lovgivere stakk Facebook på sine våpen og sa at datasamlingen var fokusert på "analytics", men bekreftet "i enkelte isolerte omstendigheter fikk appen noen begrenset ikke-målrettet innhold. "

"Vi har ikke gjennomgått alle dataene for å avgjøre om det inneholdt helse- eller økonomiske data," sa en Facebook-talsmann. "Vi har slettet alle data på markedsnivå på brukernivå som ble samlet inn fra Facebook Research-appen, som vil inneholde eventuelle helse- eller økonomiske data som kan ha eksistert."

Men Facebook sa ikke hva slags data, bare at appen ikke dekrypterte "det store flertallet" av data sendt av en enhet.

Facebook beskriver typen data det samler inn – inkludert "begrenset, ikke-målrettet innhold" (Bilde: TechCrunch)

Googles brev, skrevet av offentligpolitisk visepresident Karan Bhatia, ga ikke flere enheter eller brukere, og sa bare at appen var et "liten skala" -program. Når det ble nådd, kommenterte en Google-talsperson ikke innen tidsfristen.

Google sa også at det fant "ingen andre apper som ble distribuert til sluttbrukere av forbrukerne", men bekreftet flere andre apper som ble brukt av selskapets partnere og entreprenører, som ikke lenger stole på bedriftssertifikater.

Google forklarte hvilke av dets apps som var feilaktig ved hjelp av Apple-utstedte bedriftssertifikater (Bilde: TechCrunch)

Apple fortalte TechCrunch at både Facebook og Google "er i samsvar" med sine regler fra publiseringstidspunktet. På sin årlige utviklere konferanse i forrige uke, sa selskapet det nå "forbeholder seg retten til å gjennomgå og godkjenne eller avvise enhver intern bruk søknad."

Facebooks vilje til å samle disse dataene fra tenåringer – til tross for konstant gransking fra presse og regulatorer – viser hvor verdifullt selskapet ser markedsundersøkelser på sine konkurrenter. Med gjenopptatt betalt forskningsprogram, men med større gjennomsiktighet fortsetter selskapet å utnytte datainnsamlingen for å fortsette sine konkurrenter.

"Etter at den tidligere appen med rette ble tatt ned og blokkert fra drift, flyttet Facebook raskere for å gjeninnføre et markedsundersøkelsesprodukt enn det har til å gi noen vesentlige forbrukervernbeskyttelser eller løse det betydelige misbruket på plattformen, sier sen Blumenthal til TechCrunch. "På et tidspunkt da selskapet er under utredning for sin datapraksis og konkurransedyktige handlinger, er Facebook Studie-appen i beste fall tone døv og dårlig vurdert."

Facebook og Google kom av verre i enterprise app misbruk skandalen, men kritikere sa i å revolere enterprise sertifikater Apple beholder for mye kontroll over hva innholdet kundene har på sine enheter.

Justisdepartementet og Federal Trade Commission sies å undersøke de store fire tech-gigantene – Apple, Amazon, Facebook og Google-eier-alfabetet – for potensielt å falle fra amerikanske antitrustlover.