Facebook 用无法上架的 VPN 应用收集用户隐私

下一篇文章

2018 年中国智能手机出货量大幅下滑 14%

Facebook 用无法上架的 VPN 应用收集用户隐私

为了尽可能获取竞争对手的数据,Facebook 进行着一项秘密计划,在用户的手机上有偿安装名为「Facebook Research」(Facebook 研究)的 VPN 应用,从而获得使用者手机和网络活动的全部信息,这和 Facebook 去年 6 月从苹果 App Store 下架的 Onavo Protect 异曲同工。TechCrunch 调查证实,Facebook 这款新 VPN 应用绕开了 App Store,用违反苹果应用政策的手段获取网络的完全访问权,从而解密分析用户的手机活动。参与者可以从中获得一些报酬,从成年人到青少年都有涉及。

Facebook 向 TechCrunch 证实了该项目的存在,称项目是为了收集使用习惯相关数据,并表示没有停止该项目的计划。

2016 年开始,Facebook 向部分 13 至 35 岁年龄段用户发放基于 Android 和 iOS 的「Facebook 研究」应用,提供每月不超过 20 美元的费用(推广佣金除外)以换取他们的隐私,甚至包括亚马逊历史订单截图。以掩盖 Facebook 在其中的角色,这款应用透过几家移动应用测试平台进行分发。在一些文档中,项目以「Project Atlas」(测绘计划)代称,从这个名字可以看出 Facebook 跟踪全世界新趋势与新对手的企图。

Facebook Research 安装额外证书的截图

Guardian Mobile Firewall 的安全专家威尔·斯特拉法奇(Will Strafach,也是曾经的 iOS 越狱专家 Chronic)对「Facebook 研究」进行了深度测试,他的结论是「『Facebook 研究』要求用户安装根证书。以这个证书的访问级别,他们完全有能力持续收集以下类型的数据:社交媒体中的私信内容、即时消息应用中的聊天内容(包括发出的照片/视频)、电子邮件、搜索记录、网页浏览记录,甚至是持续的位置信息(通过访问能够获取位置信息的应用)。」Facebook 究竟收集了哪些数据,目前尚不清楚。唯一清楚的是,应用几乎可以无限制地访问用户的设备。

这个计划显示了 Facebook 为保住领先地位,究竟愿意花多少钱,冒多少险。「Facebook 研究」很可能违反了 iOS 平台规则,为阻止 Facebook 继续分发该应用,苹果或许会采取措施,甚至可能撤销 Facebook 的企业内部分发权限,这将会让两家科技巨头的关系更加冷淡。库克此前就反复批评过 Facebook 激进收集数据的做法,「Facebook 研究」会让两家公司出现什么样的变化也值得关注。TechCrunch 已经联系到苹果,对方已经得知相关情况。截止发稿期间,苹果还没有提供官方声明。

在招募网站上,Facebook Research 都是以 Project Atlas 代称,看上去和 Facebook 一点关系也没有

「用平和的技术语言说出『请安装根证书』这一步有点惊悚,」斯特拉法奇告诉我们。「确认之后 Facebook 就能持续访问你的敏感数据。我想大多数用户应该都会对此说不,无论他们用什么花言巧语,因为你无法预估交给 Facebook 的权力有多大。」

Facebook 的监控网

2014 年,Facebook 以 1.2 亿美元收购 Onavo,也是他们首次进入数据嗅探行业。Onavo Protect 是一个利用系统 VPN 接口帮助用户节省移动流量,跟踪移动流量的应用,但同时也承担着为 Facebook 深度分析用户使用习惯的任务。 BuzzFeed 新闻记者查理·沃泽尔(Charlie Warzel)和瑞恩·麦克(Ryan Mac)获得的 内部文件显示 ,Facebook 利用 Onavo 了解到彼时还为独立应用的 WhatsApp 每天发送的信息数量是 Facebook Messenger 的两倍多。凭借 Onavo 的数据挖掘,Facebook 意识到了 WhatsApp 的崛起,也坚定了社交巨人 190 亿美元的收购决策。此后,WhatsApp 的用户数量翻了三倍,这从另一方面显示了 Onavo 工具的潜力。

这些年来,Onavo 帮助 Facebook 寻找突破口,让后者知道什么应用可以抄,什么功能用户想要,什么坑应该避过。2018 年 3 月,Facebook 把 Onavo Protect 推广地址放到主应用的「安全保护」标签栏里,用以吸引更多人 下载 上钩。一个月后,Facebook 推出了另一款名为 Onavo Bolt 的应用,明面上是一款应用锁工具,用户可以用它给自己的手机应用加上一层数字或指纹密码,实际上在人们发现了它的隐私侵犯问题当天,Facebook 就移除了这款应用。不过 Onavo Protect 现在依然挂在 Google Play 上,拥有超过 1000 万次的安装量。

当时,斯特拉法奇 通过分析指出 Onavo Protect 会向 Facebook 报告用户手机亮屏和息屏状态,以及数据用量信息(包括关闭 Onavo 期间的),这掀起了轩然大波。当年 6 月,苹果更新了开发者政策,禁止收集与应用无直接关联的其他应用数据。8 月,《华尔街日报》记者迪帕•希斯罗曼(Deepa Seetharaman)报道 ,苹果管理人员通知 Facebook,Onavo 违反了数据收集新规,应用必须下架。Facebook 照做了。

但这并不能阻止 Facebook 收集数据的欲望。

测绘计划

TechCrunch 收到的爆料称,尽管 Onavo Protect 从苹果应用商店下架,但 Facebook 剑走偏锋,转而花钱请用户从 App Store 之外下载类似的应用,也就是前面提到的「Facebook 研究」。2016 年,Facebook 以「Project Kodiak」之名发布了「Research VPN」应用。从 2018 年中开始,随着 Onavo 隐私丑闻的放大,与苹果推出数据收集新规,这个项目改称「Project Atlas」(测绘计划)。Facebook 没有停止收集用户信息的意思,苹果封禁了 Onavo,无所谓,换个名字继续。

我们的调查显示,Facebook 使用了三个移动应用测试平台来分发「Facebook 研究」,分别是 BetaBound,uTest 和 Applause。

uTest 在 Instagram 和 Snapchat 投放的广告(如下图所示)专门寻找 13-17 岁的青少年参与「有偿社交媒体研究」。

Facebook 透过中间人 uTest 在 Snapchat 和 Instagram 投放广告,用钱引诱青少年参与项目

Applause 搭建的 注册页面(已下线)对 Facebook 只字不提,招募「年龄:13-35 岁(13-17 岁需征得父母同意)」的用户。未成年人注册之后,会要求提交父母许可。这时监护人填写的表格才体现出 Facebook 的参与,表格里写到:「项目本身并无已知风险,但是您已知晓本项目的固有性质涉及对您孩子使用的应用程序的跟踪,期间会涉及个人信息的收集。 对此,您将得到 Applause 的补偿金。」只要向 Facebook 出卖自己的隐私便可换来零花钱,对缺钱的小孩来无疑是极大的诱惑。

Applause 搭建的项目页面解释了「Facebook 研究」会收集哪些数据(加黑是我标出来的):

「通过安装软件,您将允许我方客户端收集手机数据,以帮助我方了解您如何浏览互联网,以及您如何使用安装的应用的功能……这意味着您将 允许我方客户端收集信息,例如手机上的应用、使用方式和时间、 有关您的活动和这些应用内容的数据,以及其他人如何在应用内与您或您的内容互动。 您还将 允许我方客户端收集有关您的互联网浏览活动的信息(包括您访问的网站以及您的设备与这些网站之间交换的数据)以及您对其他在线服务的使用。在某些情况下, 即使应用程序使用加密措施 ,或者在安全的浏览器会话中, 我方客户端也会收集此信息 。」

BetaBound 的项目注册页面 ,链接以「Atlas」结尾,里面说「您需要在手机上安装一个应用程序并让它在后台运行。可以获得每月 20 美元(电子礼品卡)的酬劳。」如果你推荐朋友参与,你可以获得额外的 20 美元佣金。这个页面一开始也没有任何 Facebook 的踪迹,只有应用的使用说明显示了 Facebook 的参与。

至于苹果官方应用测试平台 TestFlight,因为 TestFlight 应用也需要经过苹果审核,最多只能召集 10000 名测试人员,Facebook 像是故意避开似的。应用说明书显示,用户需要从 r.facebook-program.com 下载应用,然后安装企业开发人员证书、VPN,并「信任」Facebook 对手机传输的数据具有根访问权限。苹果要求企业开发人员证书只能在企业内部测试使用,公开招募测试人员并按月支付费用明显违反了这个规定。

应用安装之后,测试员必须保持 VPN 始终运行,允许数据传送到 Facebook,才能获得佣金。Applause 平台甚至要求测试员把自己的亚马逊订单页面截图上传。这些数据可能会有助于 Facebook 分析用户网页浏览和应用使用习惯与购物偏好之间的联系。这些信息还可以用来明确广告定位,了解哪些类型的用户购买了什么。

TechCrunch 委托斯特拉法奇分析了「Facebook 研究」应用程序,查找数据的发送地址。他确认数据发送到了 Onavo 的网域「vpn-sjc1.v.facebook-program.com」。「Facebook 研究」应用本身可以脱离 App Store 自行更新,应用内有一个属于 Facebook 的电子邮件地址 [email protected]。斯特拉法奇还发现 Facebook 在 2018 年 6 月 27 日更新了企业证书,就在那个月苹果公布了针对 Onavo 之类应用的数据收集新政。与此同时,MarkMonitor 的公开信息也显示,Facebook 拥有 facebook-program.com 域名。

「不能访问服务器的话,很难知道 Facebook 实际保存了哪些数据。我只能透过应用代码了解 Facebook 能获取哪些权限。看上去挺触目惊心,」斯特拉法奇解释道。「当然他们可以回应说『虽然我们有各种各样的权限,但我们只记录了其中非常小的一部分』,这是有可能的,完全取决于你对 Facebook 的信任程度。按最无害的情况描述,就是 Facebook 自己都没意识到能拿到那么多访问权限……如果是这样的话,他们的粗心程度也够惊人了。」

Facebook 研究的许多代码和 Onavo 是共通的

「对苹果规则的公然蔑视」

Facebook 发言人回应了 TechCrunch 的询问,证实此计划正在运作,旨在了解人们如何使用手机和其他服务。发言人还告诉我们「我们和其他公司一样,邀请人们参与研究,帮助我们找到可以进步的地方。 由于这项研究目的是让 Facebook 了解人们如何使用移动设备,因此我们提供了与数据收集类型以及如何参与相关的额外信息。我们不会与第三方分享收集的数据,参与者也可以随时退出。」

Facebook 发言人称「Facebook 研究」符合苹果企业开发者计划,但没有对质疑作出更多解释。他们表示 Facebook 在 2016 年首次推出该项目,他们认为项目的运营方式类似焦点小组,其他调查机构,如尼尔森和 comScore,也有类似的项目,不过这些调查机构都没有像 Facebook 一样要求参与者安装 VPN 或提供根访问权限。发言人还确认,项目确实在全球范围内招募了青少年以及其他年龄组。至于 Onavo 和「Facebook 研究」代码相似度极高的问题,发言人解释说两者是各自独立的项目,但背后的团队是同一个。

查询苹果的 企业证书政策 之后,我们发现「Facebook 研究」的情况并不像发言人所说那样清白。他们直接违反了多项政策,其中包括开发人员「仅向您的员工分配配置文件,并且仅与您的内部应用一起用于开发和测试」。该政策还规定「不得使用、分发或以其他方式向您的客户提供您的内部应用,除非在员工的直接监督下或公司场所内运行。」Facebook 的测试员并没有在受直接监督的情况下使用企业证书应用。

Facebook 如此直接地违背苹果政策可能会伤害他们的关系。「这个 iOS 应用的代码已经很明确了,它就是被禁的 Onavo 的马甲,唯一的区别就是 Facebook 这次直接违反苹果的规定,用自己的企业证书绕过苹果应用审核,把应用分发给尽可能多的用户,」斯特拉法奇告诉我们,他还在应用里发现了 onV 前缀和 graph.onavo.com、onavoApp:// 和 onavoProtect:// 之类 URL schemes 的痕迹。「他们在很多方面都严重违规了,我希望苹果能够迅速采取行动,撤销证书签名,让他们的应用无法运行。」

从批评 Facebook 的报道里我们也看到,社交巨人对青少年数据的渴望让评论者也感到震惊,因为这个年龄段的人群大多放弃社交网络,转投 Snapchat、YouTube 和 Facebook 旗下的 Instagram。TechCrunch 曾报道过,中国视频音乐应用 TikTok 和 meme 在年轻人中掀起的热潮让 Facebook 推出了一个名为 Lasso 的山寨应用,和一个名为 LOL 的 meme 浏览应用迎击。明天参加 Facebook 财报电话会议的分析师应该询问该公司还有哪些收集竞争对手情报的方式。

去年剑桥分析丑闻之后,苹果 CEO 库克被问到,如果他也遇到扎克伯格那样的问题该怎么办,他 回答说 :「我不会碰到这种问题……事实是,如果我们把客户当成产品,我们能赚更多。但那不是人们选择我们的原因。」扎克伯格在随后的专访中告诉 Vox 记者 埃兹拉·克莱恩(Ezra Klein),他觉得库克的批评「非常狡猾」。

现在很明显,即使遭遇苹果下架,Facebook 仍然通过 iOS 平台积极收集竞争对手的数据。「我从未见过对苹果应用政策如此公然蔑视的开发者,」斯特拉法奇总结道。如果苹果关闭了 Facebook 研究计划,Facebook 要么得发明新的方式来监视用户行为,要么就要被抛弃在黑暗中。

[更新:Facebook 已回复 TechCrunch,他们将关闭 iOS 版「Facebook 研究」应用。]

Zack Whittaker 对此文亦有贡献。

Facebook pays teens to install VPN that spies on them, but will stop on iPhone

IMAGE BY Bryce Durbin / TechCrunch