De nombreux lecteurs de Habr
ne croient pas que les Russes peuvent gagner jusqu'à 5 000 roubles par mois en vendant leurs données personnelles, comme l'
ont dit les experts de l'IIDF . Mais le dernier scandale avec Facebook montre que cette évaluation a le droit d'exister. Il s'est avéré que Facebook mène un projet secret d'Atlas depuis plus de deux ans, dans le cadre duquel il verse aux gens jusqu'à 20 $ par mois pour l'installation d'un pseudo-VPN propriétaire sur un smartphone. Il installe le certificat racine et surveille l'activité des utilisateurs.
Les journalistes de TechCrunch ont
mené une enquête et ont découvert que ce pseudo-VPN est basé sur le code d'application Onavo Protect, qu'Apple a interdit de distribuer via l'App Store en août 2018. Après cela, Facebook a publié la nouvelle application Research, qui remplit essentiellement les mêmes fonctions.
L'application Facebook Research VPN contourne l'interdiction d'Apple sur certains types d'espionnage en usurpant l'identité d'une version bêta de l'application et en diffusant les services d'Applause, Betabound et Utest, écrit TechCrunch. L'application est livrée avec un certificat racine, vous permettant d'intercepter "les messages personnels sur les réseaux sociaux, les chats dans les applications de messagerie instantanée, y compris les photos / vidéos envoyées à des tiers, les e-mails, la recherche sur le Web, la navigation sur le Web et les informations de localisation actuelles".
On ne sait toujours pas laquelle des données répertoriées l'application recueille réellement. Facebook a confirmé qu'il utilise l'application pour «collecter des données sur les habitudes d'utilisation».
Le projet Atlas invite les utilisateurs âgés de 13 à 35 ans. Pour recevoir une récompense, ils doivent garder leur connexion VPN active et envoyer des données à Facebook.
Les données collectées peuvent potentiellement aider Facebook à profiler plus précisément tous les utilisateurs en liant le comportement en ligne et l'utilisation d'autres applications avec le choix des achats: entre autres, les utilisateurs sont invités à prendre des captures d'écran de leurs commandes sur Amazon. Ces informations peuvent également être utilisées pour cibler des annonces.
L'analyse technique de l'application commandée par TechCrunch a été réalisée par Strafach. Ils ont confirmé que les données du programme sont envoyées à l'adresse
vpn-sjc1.v.facebook-program.com , associée à l'adresse IP de l'application Onavo interdite, et que le domaine
facebook-program.com est bien enregistré sur Facebook.
L'application peut être mise à jour sans interagir avec l'App Store et est associée à l'adresse e-mail
PeopleJourney@fb.com . Un certificat numérique a également été vérifié: Facebook l'a prolongé le 27 juin 2018 - quelques semaines après qu'Apple ait annoncé ses nouvelles règles interdisant une application Onavo Protect similaire.
«Il est difficile de dire quel type de données Facebook recueille réellement (sans accès à leurs serveurs). Vous ne pouvez déterminer, sur la base du code de l'application, que les informations auxquelles ils ont accès », explique Strafach. "Et cela brosse un tableau très inquiétant." Ils peuvent prétendre qu'ils ne conservent qu'un ensemble limité de données très spécifique, et cela peut être vrai, mais en réalité, tout dépend de la confiance que vous accordez à leurs paroles. La description la plus condescendante de cette situation serait que Facebook n'a pas trop réfléchi au niveau d'accès dont ils ont besoin pour le programme ... ce qui en soi est un niveau de négligence incroyable, si tel est le cas. "
La
page BetaBound indique que pour le fonctionnement de l'application, les utilisateurs sont récompensés par des cartes-cadeaux d'une valeur de 20 $ par mois. De plus, 20 $ sont payés pour chaque ami attiré.
Dans un commentaire officiel, un porte-parole de Facebook a confirmé que l'entreprise utilise le programme pour savoir comment les gens utilisent leurs téléphones et autres services: «Comme de nombreuses entreprises, nous invitons les gens à participer à des recherches qui nous aident à déterminer ce que nous pouvons faire de mieux. Étant donné que cette étude vise à aider Facebook à comprendre comment les gens utilisent leurs appareils mobiles, nous avons fourni de nombreuses informations sur les types de données que nous collectons. "Nous ne fournissons pas ces informations à des tiers, et les gens peuvent cesser de participer au projet à tout moment."
Facebook a déclaré que l'application ne violait pas
le certificat d'entreprise Apple pour iOS.