freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FaceBook被曝公然付费购买用户信息,流量面前还有隐私吗?
2019-02-02 09:00:49

与暗网100元售卖一套身份信息相比,在用户知情的情况下每月付费100元左右获取用户隐私信息的行为,会被接受吗?

图一.jpg

据外媒TechCrunch报道,自2016年以来,FaceBook每月秘密付费给用户,要求用户安装名为“FaceBook Research”的VPN,以便搜集用户在手机或网页上的活动,获取隐私信息。Facebook确认称,“FaceBook Research”这个项目主要是为了收集用户习惯。该项目主要面向13至35岁的用户,每月支付高达20美元的费用。用户下载该VPN之后,FaceBook会要求开通可访问网络流量的root权限,以便通过这种方式解密并分析用户行为。同时还要求用户截图并上传他们的亚马逊历史订单页面。

图二.png

FaceBook Research APP要求用户“信任”权限,以便获取数据

安全专家Will Strafach深入研究Facebook Research之后表示,“如果Facebook要求用户安装根证书,就能充分利用用户授予的权限,持续收集社交媒体应用中的私人消息、即时消息应用中的聊天 信息(包括发送给他人的照片/视频)、电子邮件、网络搜索、网络浏览活动甚至利用用户已经安装的位置跟踪应用程序获取持续变动的位置信息。“当然,目前还不清楚Facebook究竟关注哪些数据,但是用户安装应用程序后,FaceBook就可能无限制地访问用户的设备。

但事实上,因为涉及敏感信息,不论签署何种协议,都无法解释FaceBook这种行为的合理性。而大多数用户也不会同意这样的协议。

FaceBook 的监控之路

Onavo 

2014年,FaceBook以1.2亿美元收购Onavo后,开始涉足数据嗅探业务。当时Onavo VPN应用程序可以让用户跟踪并最小化自己的移动数据计划使用情况,同时也让FaceBook得以深入分析用户正在使用的其他应用程序。

有内部文件显示,Facebook利用Onavo了解到WhatsApp每天发送的邮件数量是Facebook Messenger的两倍多,因此看到WhatsApp的迅速崛起与潜力,并在2014年支付190亿美元收购了WhatsApp。此后,WhatsApp用户增加了三倍多,导致FaceBook更加青睐Onavo的功能。

图三.png

这几年,Onavo一直帮助Facebook寻找可以复制的应用程序、要扩展的功能以及要避免的误区。2018年,FaceBook在其APP的Protect书签中推广Onavo应用程序,希望能够吸引更多目标用户。Facebook还推出了Onavo Bolt APP,让用户可以用密码或指纹锁定某款应用程序,但由于涉嫌违反隐私政策,这个应用很快被下架。但是, Onavo的主要应用程序仍可在Google Play中搜到,且安装量已超过1000万次。

2018年6月份,苹果更新了其开发者政策,禁止应用程序收集与运行无关的其他应用程序信息或数据。8月份通知FaceBook收到苹果的通知,称Onavo Protect违反了数据收集政策,并在App Store中将其删除。

然而,但这并没有阻止Facebook的数据收集。

Project Atlas(泰坦计划)

Project Atlas就是前文提到的“FaceBook Research”这个VPN其实类似于FaceBook之前的Onavo Project 应用程序。因此,Facebook就尝试避开这一禁令,绕过APP Store并利用苹果的另一个允许外部公司给员工提供定制软件的政策。“FaceBook Research”项目通过Beta测试服务Applause、BetaBound和uTest进行管理,以隐藏Facebook的参与。从内部流出的一些文档将这个计划称为“Project Atlas”。

具体来说,这个计划面向13-35岁的用户,其中有些部分专门面向13-17岁的用户。而这些用户在注册登录时,需要寻求父母的允许。而FaceBook展示的信息是“本项目没有已知风险,但是需要用户知晓该项目可能会追踪用户使用习惯。而通过Applause网站,用户可以获得一定的现金奖励。”对于缺少零花钱的青少年而言,每个月20美元的“补偿金”足以引诱他们售卖自己的隐私。

在实际测试中发现,Applause网站所列举的Facebook Research应用程序收集的应用程序如下:

通过安装软件,您将允许我们的客户从手机中收集数据,这有助于他们了解您如何浏览互联网,以及您如何使用已安装的应用……这意味着您要允许我们的客户收集信息。例如手机上的应用、使用方式和使用时间、应用内的活动及内容数据、其他人在应用内如何与您互动等。您还要允许我们的客户收集您浏览互联网的活动(包括您访问的网站以及您的设备与这些网站之间交换的数据)以及您对其他在线服务的使用情况。在某些情况下,即使应用程序开启加密,或者在安全的浏览器会话中,我们的客户也会收集此信息。

同时,带有以“Atlas”结尾的URL的BetaBound注册页面还会以“每月20美元(电子礼品卡)”的诱导信息推广这个应用程序,但并没有提到Facebook。

图四.png

安装“Facebook Research”VPN后,用户只需保持其运行并将数据发送到FaceBook即可获得付款。但Facebook Research还要求用户截取他们的亚马逊订单页面。这些数据可能有助于FaceBook将用户浏览习惯和其他应用的使用与购买偏好及行为联系起来。可以利用这些信息来确定广告定位并了解用户的购买内容。

流量面前,没有隐私

在外媒曝光之后,FaceBook发言人表示他们的确实施了“泰坦计划”以了解用户习惯,并称其他公司也都在这么做。他们只是邀请用户参与调研以便提升用户服务。同时,他们已经明确告知用户所搜集的数据类型,也并未将收集到的信息共享给任何人。最重要的是,参与者可以随时退出、停止项目。然而,对于Facebook Research与Onavo Project代码相似的问题,他们并没有直接回应。

图五.png

近几年,国内抖音短视频和表情包席卷全球,国外的Snapchat、YouTube吸引更多青少年群体,这都加剧了FaceBook的焦虑,也成为其上线“泰坦计划”的诱因之一。“泰坦计划”这个名字似乎彰显了Facebook目前尽力维护并保持自己社交巨头地位的决心。所以,即使曾收到苹果的警告,Onavo Protect也在APP Store被下架;即使新的计划可能会再次触动苹果的隐私政策,甚至加剧两家公司之间的矛盾,FaceBook也依旧我行我素,通过Apple的iOS平台积极收集其竞争对手的数据。2018年的“剑桥分析”事件,显然也没有打击FaceBook的野心。

FaceBook监控专题.png

有专家表示,“从未见过App Store开发商对Apple规则的如此公开和公然的蔑视。”目前,苹果已经知晓了FaceBook这一行为,并撤销了FaceBook的开发者证书。FaceBook表示将关闭“Facebook Research”这一项目,但安卓应用商店中似乎依然可以下载。也许可以预见,以后类似的计划,还会层出不穷。

*参考来源:techcrunchtheverge,转载请注明来自FreeBuf.COM

# 隐私泄露 # facebook
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者