Хакер #305. Многошаговые SQL-инъекции
$20 за слежку
Журналисты издания TechCrunch опубликовали результаты собственного расследования, и уличили компанию Facebook в создании приложений для сбора данных о пользователях. По информации журналистов, социальная сеть разработала VPN-приложение Facebook Research, которое следило за всей активностью на мобильном устройстве пользователя и устанавливало собственный root-сертификат. Ранее точно такую же активность обнаруживали в VPN-приложении Onavo Protect, которое Apple забанила еще в июне прошлого года и пересмотрела правила работы для таких решений.
С 2016 года Facebook предлагала пользователям iOS и Android (от 13 до 35 лет) до 20 долларов в подарочных сертификатах в месяц, а также различные бонусы за привлечение друзей. Для получения вознаграждений было достаточно установить на свое устройство специальное приложение и держать его включенным в фоновом режиме. Также участников программы просили делать скриншоты заказов на Amazon. Причем приложение распространялось через бетатестерские сервисы Applause, BetaBound и uTest, чтобы скрыть связь с Facebook, а в ряде документов фигурировало как Project Atlas.
Facebook Research активно рекламировалось в Instagram и Snapchat, в основном ориентируясь на аудиторию от 13 до 17 лет (для несовершеннолетних требовалось согласие родителей). Пользователям предлагали принять участие в «оплачиваемом научном исследовании социальных медиа». Справедливости ради нужно сказать, что хотя на странице Applause до последнего не упоминалась Facebook, пользователей все же информировали о том, что приложение получит доступ к самым разным данным.
Фактически, приложение могло добраться до любой информации на устройстве: приватных сообщений в мессенджерах и социальных медиа (включая фото и видео), электронных писем, истории поиска, браузинговой активности, информации о местоположении пользователя (если тот взаимодействовал с любым другим приложением, отслеживающим местонахождение). Неясно, какие именно данные на самом деле собирало решение Facebook (этого не понять, без доступа к серверам социальной сети), но исследователи подчеркивают, что оно имело практически неограниченный доступ и в теории могло делать, что угодно.
Известно, что собранные данные передавались на адрес vpn-sjc1.v.facebook-program.com, ранее связанный с Onavo. Хуже того, приложение могло обновляться с обход App Store.
В Facebook расследование журналистов прокомментировали так:
«Как и многие другие компании мы приглашаем людей поучаствовать в исследовании, которое помогает нам определить, что мы может улучшить. Так как данное исследование направлено на то, чтобы Facebook могла лучше понимать, как люди пользуются своими мобильными устройствами, мы предоставляем пользователям подробную информацию о том, какие данные будут собраны и чему именно это поможет. Мы не делимся этими данными с другими, и пользователи могут прекратить участвовать в программе в любой момент».
Конфликт с Apple
Интересно, что сразу после публикации результатов расследования, представители Facebook заявили, что Facebook Research не нарушало условия использования enterprise-сертификатов Apple, а Onavo и Facebook Research вообще ничто не связывает.
Журналисты TechCrunch отметили, что слова представителей социальной сети прямо противоречат правилам Apple. Так, подписанные enterprise-сертификатами приложения могут иметь хождение только внутри компании. И спустя всего 7 часов после публикации материала, Facebook вдруг поменяла свою точку зрения и спешно свернула работу Facebook Research для iOS (позже в Apple заявили, что забанили приложение даже раньше этого). При этом в компании еще раз подчеркнули, что приложение ни за кем не «шпионило», пользователей подробно и открыто информировали о сборе данных, и все участники программы знали, на что идут.
Вряд ли кого-то удивит, что представителям Apple поведение Facebook в итоге остро не понравилось, тем более, что Тим Кук неоднократно публично критиковал социальную сеть за то, что та собирает данные о пользователях.
В итоге Apple вообще отозвала enterprise-сертификат Facebook. Сообщается, что это уже «сломало» приложения, которыми 33 000 сотрудников социальной сети, как и положено, пользовались внутри компании, включая бета-версии Facebook и Instagram, а также решения для управления различной офисной рутиной.
В Apple дали следующий комментарий:
«Наша Enterprise Developer Program создана исключительно для внутреннего распространения приложений в пределах организации. Facebook использовала свое членство в программе для распространения приложений, собирающих информацию о пользователях, что является прямым нарушением договоренностей с Apple. Любой разработчик, использующий enterprise-сертификаты для распространения приложений среди пользователей, закончит тем, что его сертификаты будут отозваны, что мы и сделали в данном случае, чтобы защитить наших пользователей и их данные».
А что же Google?
Представители Google пока никак не отреагировали на ситуацию вокруг Facebook Research. Дело в том, что параллельно с этим скандалом также стало известно, что поисковый гигант и сам практикует подобные действия в отношении пользователей iOS.
Исследователи обнаружили приложение Screenwise Meter, существующее с 2012 года. Оно точно так же использовалось для исследования поведения пользователей от 13 лет и старше (до 18 лет требовалось согласие родителей), а за участие в программе пользователей вознаграждали подарочными сертификатами. Проблема в том, что Screenwise Meter тоже было подписано enterprise-сертификатом.
Когда журналисты TechCrunch связались с Google и попросили прокомментировать происходящее, в компании заверили, что срочно отключат приложение на iOS-устройствах и выведут из программы Enterprise Developer, так как, оказывается, приложение использовало enterprise-сертификат по ошибке.