В августе 2018 года Apple заставила Facebook удалить приложение Onavo VPN из App Store, поскольку Facebook использовал его для отслеживания активности и данных пользователей в нескольких приложениях, что нарушало политики Apple в отношении App Store.
Как оказалось, Facebook нашел хитрый способ обойти правила Apple и продолжать привлекать людей к установке своего VPN — он платит им за это.
TechCrunch сегодня днем разоблачил программу Facebook «Project Atlas», в рамках которой Facebook платил людям — взрослым и подросткам — за установку VPN «Facebook Research», аналогичного приложению Onavo VPN.
Начиная с 2016 года, Facebook тайно предлагал людям в возрасте от 13 до 35 лет до 20 долларов в месяц плюс реферальные бонусы за установку приложения Facebook Research, используя корпоративный сертификат на iPhone. Корпоративные сертификаты такого типа предназначены для того, чтобы компании могли распространять внутренние корпоративные приложения и предоставлять полный корневой доступ к устройству.
Чтобы скрыть свое участие, Facebook использовал сервисы бета-тестирования, такие как Applause, BetaBound и uTest, для привлечения участников к установке Facebook Research.
Таким образом, устанавливая приложение через корпоративный сертификат, Facebook получает доступ к данным, включая личные сообщения в социальных сетях, чаты из мессенджеров (в том числе фотографии и видео), электронные письма, поисковые запросы в интернете, историю посещений веб-сайтов и информацию о текущем местоположении. Неясно, получает ли Facebook доступ к этим данным, но он *может*, по словам специалиста по безопасности Уилла Штрафаха, которого привлекал TechCrunch для написания этой статьи.
«Звучащий довольно технически призыв «установить наш корневой сертификат» просто поражает, — говорит нам Штрафах. — Это дает Facebook постоянный доступ к самым конфиденциальным данным о вас, и большинство пользователей не смогут дать разумное согласие на это, независимо от какого-либо подписанного соглашения, потому что нет хорошего способа объяснить, сколько власти передается Facebook, когда вы это делаете.»
Условия использования приложения Facebook Research предполагают, что Facebook собирает информацию о приложениях на смартфоне участника, а также о том, как и когда эти приложения используются. Facebook также заявил, что будет собирать данные о действиях и контенте внутри приложений, а также информацию об истории интернет-серфинга. Есть даже строка, указывающая на то, что Facebook собирает данные, даже когда приложение использует шифрование или работает в защищенном браузере.
Facebook подтвердил программу в заявлении, предоставленном TechCrunch, и, как сообщается, заявил, что приложение Facebook Research «соответствует программе корпоративных сертификатов Apple», хотя, судя по политике корпоративных сертификатов Apple, это не так.
«Как и многие компании, мы приглашаем людей участвовать в исследованиях, которые помогают нам выявлять области, где мы могли бы работать лучше. Поскольку эти исследования направлены на то, чтобы помочь Facebook понять, как люди используют свои мобильные устройства, мы предоставили исчерпывающую информацию о типах данных, которые мы собираем, и о том, как они могут участвовать. Мы не передаем эту информацию другим, и люди могут прекратить участие в любое время.»
Apple была уведомлена о проблеме, но отказалась комментировать ситуацию для TechCrunch. Неясно, как компания из Купертино поступит в сложившейся ситуации, но, как отмечает TechCrunch, генеральный директор Apple Тим Кук неоднократно критиковал Facebook и его нарушения конфиденциальности. Apple потенциально может заблокировать приложение Facebook Research или полностью отозвать разрешение Facebook на распространение внутренних приложений.
Полные сведения о шпионском приложении Facebook можно найти в разоблачении TechCrunch.
