Facebook, Google fångade distribuera invasiva appar; Apple stänger av dem
Facebook visade sig ha distribuerat appar för att spåra användardata och användning på iOS och Android, med hjälp av en VPN-app som heter “Facebook Research.” Som TechCrunch rapporterar hade denna app – som betalade tonåringar upp till $ 20 per månad för att övervakas – root-åtkomst till nätverkstrafik för att kunna spåra all användares aktivitet. Appen kunde samla in privata meddelanden, e-post, webbhistorik, sökhistorik och mer som en del av vad Facebook kallar Project Atlas, som skapades med målet att lära sig om nya trender.
Jag trodde att jag skulle se hur robust föräldrakontrollen för Facebooks program är. På mindre än fem minuter kunde jag registrera mig som en 14-årig pojke … med två barn. Det krävde inget bevis på föräldrarnas samtycke alls. Jag har precis fått en länk för att ladda ner iOS-appen. pic.twitter.com/z6www8SgQJ
– Dave Lee (@DaveLeeBBC) 30 januari 2019
Denna app var dock inte tillgänglig i iOS App Store; det använde ett system som heter Apple Developer Enterprise Program, vilket gör det möjligt för företag och utvecklare att distribuera appar privat. Användare skulle ladda ner en profil till sina enheter som gör att appen kan installeras. Detta är inte ovanligt, eftersom många företag skapar appar för internt bruk och inte vill distribuera dem i App Store. Men för att fungera på iOS-enheter måste dessa appar fortfarande installeras med ett utvecklarcertifikat, vilket i detta fall var Facebooks interna företagscertifikat.
När Apple upptäckte vad Facebook hade gjort – vilket är ett tydligt brott mot Apples regler för utvecklarkonton – annullerade Apple certifikatet och använde effektivt en dödsbrytare för att stänga av appen. (Apples iOS-enheter kontrollerar om ett apputvecklarcertifikat har återkallats, och om det har det kommer appen inte längre att köras.)
Men det som fick Apple att återkalla Facebooks interna företagscertifikat var inte de uppgifter som Facebook samlade in, utan snarare hur Facebook hade distribuerat appen.
En Apple-talesman sa till ReCode,
”Vi designade vårt Enterprise Developer-program enbart för intern distribution av appar inom en organisation. Facebook har använt sitt medlemskap för att distribuera en datainsamlingsapp till konsumenterna, vilket är ett tydligt brott mot deras avtal med Apple. Alla utvecklare som använder sina företagscertifikat för att distribuera appar till konsumenter kommer att återkalla sina certifikat, vilket är vad vi gjorde i det här fallet för att skydda våra användare och deras data. ”
Som en bieffekt av detta gjordes andra appar som Facebook använder internt. Detta inkluderar betaversioner av appar som Facebook, Instagram och Messenger och appar som Facebook-anställda använder för att organisera transport och leta upp den dagliga lunchmenyn.
Facebook hävdar att det inte fanns något hemligt med deras app, att “Det” spionerade “inte eftersom alla människor som registrerade sig för att delta gick igenom en tydlig ombordstigningsprocess där de bad om deras tillstånd och fick betalt för att delta.” Men vad appen gjorde var i strid med Apples villkor för utvecklare.
Detta följer av att en Facebook-ägd app som heter Onavo Protect togs bort från App Store i augusti förra året eftersom den bryter mot policyerna för datainsamling. Facebook Research-appen verkar ha baserats på Onavo Protect-appen.
Washington Post påpekade att Apple har blivit “teknikindustrins de facto sekretesspol”, och att dess förmåga att stänga av ett annat företags appar på sin plattform kan vara oroande, men att det visar “hur långsamma amerikanska tillsynsmyndigheters försök att tygla på Facebook har varit. ”
Detta följer ett problem med Apples FaceTime Group-samtal, där samtalare kunde avlyssna personer som ännu inte hade accepterat samtal. Apple hade lite paj på ansiktet på grund av detta fel, som företaget snabbt mildrade genom att stänga av den här funktionen på sina servrar. Men det här är samma företag som nyligen publicerade en enorm annons i Las Vegas under Consumer Electronic Show och sa att “Vad som händer på din iPhone stannar kvar på din iPhone.”
Naturligtvis skulle veckan inte vara komplett utan att Google också var inblandade. Google hade också en app som liknade Facebooks, kallad Screenwise Meter, som ”gav användare som valde in Googles Opinion Rewards-presentkort i utbyte mot att spåra deras användningsdata.” Google, som såg Apples reaktion på Facebooks misstag, dödade snabbt appen och bad om ursäkt:
”IOS-appen Screenwise Meter borde inte ha drivits under Apples utvecklingsprogram för företag – detta var ett misstag och vi ber om ursäkt. Vi har inaktiverat den här appen på iOS-enheter. Denna app är helt frivillig och har alltid varit. Vi har varit i förväg med användarna om hur vi använder deras data i den här appen, vi har ingen tillgång till krypterad data i appar och på enheter och användare kan när som helst välja bort programmet. ”
Strax innan den här artikeln publicerades kom det fram att Apple också hade tagit ner förbudshammaren på Google, trots att Google hade sett texten på väggen och självpolisering förebyggande. Det är bra att se att Apple överensstämmer med sin policy (trots att Google betalar Apple miljarder dollar per år för att vara standardsökmotorn på Apples plattformar).
Kort därefter kom ett uttalande från Facebook till en New York Times teknisk reporter att Apple hade återställt Facebooks företagscertifikat, vilket gjorde att Facebooks interna appar kunde börja arbeta igen. (Från och med publiceringstiden är det oklart om Facebook Research-appen som ledde till att certifikatet återkallades också fungerar igen, eller om den har inaktiverats genom någon annan åtgärd av Facebook eller Apple.)
senast på FB v Apple:
”Vi har fått vår Enterprise Certification, som möjliggör våra interna personalansökningar, återställts. Vi håller på att få igång våra interna appar. För att vara tydlig hade detta ingen inverkan på våra konsumentinriktade tjänster. ” –FB-spox
– rat king (@MikeIsaac) 31 januari 2019
Det är ganska intressant – och vissa kan säga oroande – att notera kraften som Apple har för att kunna avsluta ett större företags interna appar med en strömbrytare. Det är lika intressant att, även om båda apparna från Facebook och Google var av liknande “handel-integritet-för-kontanter” karaktär, var anledningarna till att Apple återkallade utvecklarcertifikaten (åtminstone officiellt) relaterade till hur företagen distribuerade apparna till konsumenterna, inte tekniskt på grund av användarens integritet.
Facebooks och Googles offentligt tillgängliga App Store-appar, som förmodligen följer Apples regler, förblir tillgängliga i iOS App Store.
Om du tycker att det här låter lite som en tvålopera är du inte ensam. ?
Hur kan jag lära mig mer?
Vi diskuterar Facebook- och Google-berättelsen (som fortfarande utvecklades vid inspelningstidpunkten) i veckans upplaga av Intego Mac Podcast, så se till att prenumerera så att du inte missar det senaste avsnittet. Du vill också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för uppdateringar.
Ägg i en äggkopp bildkredit: Rob & Dani (CC BY 2.0 licens).
Om Mike Jones
Mike Jones skriver om Apple-produkter och mer på sin blogg Kirkville. Han är co-värd för Intego Mac Podcast, liksom flera andra podcasts, och är en regelbunden bidragsgivare till The Mac Security Blog, TidBITS och flera andra webbplatser och publikationer. Kirk har skrivit mer än två dussin böcker, inklusive Take Control-böcker om Apples medieappar, Scrivener och LaunchBar. Följ honom på Twitter på @mcelhearn. Visa alla inlägg av Mike Jones → Det här inlägget publicerades i Säkerhet och sekretess och taggades Apple, Facebook, Google, sekretess. Bokmärk permalänken.
