Многие читатели Хабра не верят, что на продаже своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц, как сказали эксперты ФРИИ. Но последний скандал с Facebook показывает, что эта оценка имеет право на существование. Оказалось, что Facebook уже более двух лет ведёт секретный проект Atlas, в рамках которого платит людям до $20 в месяц за установку на смартфон фирменного псевдо-VPN. Оно устанавливает корневой сертификат и отслеживает действия пользователя.
Журналисты TechCrunch провели расследование и выяснили, что этот псевдо-VPN основан на коде приложения Onavo Protect, которое Apple запретила распространять через App Store в августе 2018 года. После этого Facebook выпустил новое приложение Research, которое по сути выполняет такие же функции.
Приложение Facebook Research VPN обходит запрет Apple на определённые типы слежки, выдавая себя за бета-версию приложения и распространяясь сервисы Applause, Betabound и Utest, пишет TechCrunch. Приложение поставляется с рутовым сертификатом, позволяя перехватывать «личные сообщения в социальных медиа, чатах в приложениях для обмена мгновенными сообщениями, включая фотографии/видео, отправленные другим, электронные письма, веб-поиск, просмотр веб-страниц и текущую информацию о местоположении».
Пока неизвестно, какие из перечисленных данных реально собирает приложение. Facebook подтвердил, что использует приложение для «сбора данных о привычках использования».
В проект под кодовым названием Project Atlas приглашают пользователей в возрасте от 13 до 35 лет. Для получения вознаграждения они должны держать активным VPN-соединение и отправлять данные в Facebook.
Собранные данные потенциально могут помочь Facebook более точно профилировать всех пользователей, связывая поведение в онлайне и использования других приложений с выбором покупок: среди прочего, пользователей просят делать скриншоты своих заказов на Amazon. Эта информация может быть использована также для таргетинга рекламы.
Технический анализ приложения по заказу TechCrunch выполнили специалисты компании Strafach. Они подтвердили, что данные из программы отправляются на адрес vpn-sjc1.v.facebook-program.com, связанный с IP-адресом запрещённого приложения Onavo, а домен facebook-program.com действительно зарегистрирован на Facebook.
Приложение может обновляться без взаимодействия с App Store и связано с адресом электронной почты PeopleJourney@fb.com. Также проверен цифровой сертификат: Facebook продлил его 27 июня 2018 года — через несколько недель после того, как Apple объявила о своих новых правилах, запрещающих аналогичное приложение Onavo Protect.
«Сложно сказать, какие данные на самом деле собирает Facebook (без доступа к их серверам). Можно только на основе кода в приложении определить, к какой информации они получают доступ, — объясняют специалисты Strafach. — И это рисует очень тревожную картину. Они могут утверждать, что сохраняют только очень конкретный ограниченный набор данных, и это может быть правдой, но в реальности всё сводится к тому, насколько вы доверяете их словам. Самым снисходительным описанием этой ситуации было бы то, что Facebook не слишком задумывался об уровне доступа, который они требуют для программы… что само по себе является поразительным уровнем небрежности, если это так».
На странице BetaBound указано, что за работу приложения пользователи поощряются подарочными картами на сумму $20 в месяц. Кроме того, по $20 платят за каждого привлечённого друга.
В официальном комментарии представитель Facebook подтвердил, что компания использует программу, чтобы узнать, как люди используют свои телефоны и другие услуги: «Как и многие компании, мы приглашаем людей участвовать в исследованиях, которые помогают нам определить, что мы можем сделать лучше. Поскольку это исследование направлено на то, чтобы помочь Facebook понять, как люди используют свои мобильные устройства, мы предоставили обширную информацию о типах данных, которые собираем. Мы не предоставляем эту информацию третьим лицам, а люди могут в любое время прекратить участие в проекте».
Facebook заявил, что приложение не нарушает правила Apple Enterprise Certificate для iOS.
Автор: Анатолий Ализар