Viele Habr-Leser
glauben nicht, dass Russen durch den Verkauf ihrer persönlichen Daten bis zu 5.000 Rubel pro Monat verdienen können, wie
IIDF-Experten sagten . Der jüngste Skandal mit Facebook zeigt jedoch, dass diese Einschätzung ein Existenzrecht hat. Es stellte sich heraus, dass Facebook seit mehr als zwei Jahren ein geheimes Atlas-Projekt durchführt, bei dem Menschen bis zu 20 US-Dollar pro Monat für die Installation eines proprietären Pseudo-VPN auf einem Smartphone bezahlt werden. Es installiert das Stammzertifikat und überwacht die Benutzeraktivität.
TechCrunch-Reporter
führten eine Untersuchung durch und stellten fest, dass dieses Pseudo-VPN auf dem Onavo Protect-App-Code basiert, dessen Verbreitung Apple im August 2018 über den App Store verboten hat. Danach veröffentlichte Facebook die neue Research-Anwendung, die im Wesentlichen die gleichen Funktionen ausführt.
Die VPN-App von Facebook Research umgeht das Apple-Verbot bestimmter Arten von Snooping, indem sie sich als Beta-Version der App ausgibt und die Dienste von Applause, Betabound und Utest verbreitet, schreibt TechCrunch. Die Anwendung wird mit einem Stammzertifikat geliefert, mit dem Sie "persönliche Nachrichten in sozialen Medien, Chats in Instant Messaging-Anwendungen, einschließlich an andere gesendete Fotos / Videos, E-Mails, Websuche, Surfen im Internet und aktuelle Standortinformationen" abfangen können.
Es ist noch nicht bekannt, welche der aufgelisteten Daten die Anwendung tatsächlich sammelt. Facebook hat bestätigt, dass es die App verwendet, um „Daten über Nutzungsgewohnheiten zu sammeln“.
Project Atlas lädt Benutzer zwischen 13 und 35 Jahren ein. Um eine Belohnung zu erhalten, müssen sie ihre VPN-Verbindung aktiv halten und Daten an Facebook senden.
Die gesammelten Daten können Facebook möglicherweise dabei helfen, alle Benutzer genauer zu profilieren, indem das Online-Verhalten und die Verwendung anderer Anwendungen mit der Auswahl der Einkäufe verknüpft werden. Unter anderem werden Benutzer gebeten, Screenshots ihrer Bestellungen bei Amazon zu machen. Diese Informationen können auch zur Ausrichtung von Anzeigen verwendet werden.
Die technische Analyse der von TechCrunch in Auftrag gegebenen Anwendung wurde von Strafach durchgeführt. Sie bestätigten, dass die Daten aus dem Programm an die Adresse
vpn-sjc1.v.facebook-program.com gesendet werden , die mit der IP-Adresse der verbotenen Onavo-Anwendung verknüpft ist, und dass die Domain
facebook-program.com tatsächlich auf Facebook registriert ist.
Die Anwendung kann ohne Interaktion mit dem App Store aktualisiert werden und ist mit der E-Mail-Adresse
PeopleJourney@fb.com verknüpft . Ein digitales Zertifikat wurde ebenfalls verifiziert: Facebook hat es am 27. Juni 2018 verlängert - einige Wochen nachdem Apple seine neuen Regeln angekündigt hatte, die eine ähnliche Onavo Protect-Anwendung verbieten.
„Es ist schwer zu sagen, welche Art von Daten Facebook tatsächlich sammelt (ohne Zugriff auf ihre Server). Sie können nur anhand des Codes in der Anwendung bestimmen, auf welche Informationen sie zugreifen können “, erklärt Strafach. "Und es malt ein sehr verstörendes Bild." Sie können behaupten, dass sie nur einen sehr spezifischen begrenzten Datensatz behalten, und dies mag zutreffen, aber in Wirklichkeit hängt alles davon ab, wie sehr Sie ihren Worten vertrauen. Die herablassendste Beschreibung dieser Situation wäre, dass Facebook nicht zu viel über das Maß an Zugriff nachgedacht hat, das sie für das Programm benötigen ... was an sich schon ein erstaunliches Maß an Nachlässigkeit ist, wenn dies der Fall ist. “
Auf der
BetaBound-Seite wird angegeben, dass Benutzer für den Betrieb der Anwendung mit Geschenkkarten im Wert von 20 USD pro Monat belohnt werden. Zusätzlich werden 20 US-Dollar für jeden angezogenen Freund gezahlt.
In einem offiziellen Kommentar bestätigte ein Facebook-Sprecher, dass das Unternehmen das Programm nutzt, um herauszufinden, wie Menschen ihre Telefone und andere Dienste nutzen: „Wie viele Unternehmen laden wir Menschen ein, an Forschungsarbeiten teilzunehmen, die uns dabei helfen, herauszufinden, was wir besser machen können. Da diese Studie Facebook helfen soll, zu verstehen, wie Menschen ihre Mobilgeräte verwenden, haben wir umfangreiche Informationen zu den von uns gesammelten Datentypen bereitgestellt. "Wir geben diese Informationen nicht an Dritte weiter, und die Teilnehmer können jederzeit die Teilnahme am Projekt einstellen."
Facebook sagte, die Anwendung verstoße nicht gegen das
Apple Enterprise Certificate für iOS.