Facebook avrebbe pagato minorenni per installare una VPN che li spia

0
736

Alla disperata ricerca di dati sui suoi concorrenti, Facebook sta segretamente pagando persone per installare una VPN di “Ricerca Facebook” che consente all’azienda di assorbire tutte le attività del telefono e del web di un utente, simile all’app di Facebook Onavo Protect che Apple ha bandito a giugno e che è stata rimossa in agosto. Facebook aggira l’App Store e premia gli adolescenti e gli adulti per scaricare l’app di ricerca e dargli accesso root al traffico di rete in quella che potrebbe essere una violazione della policy Apple in modo che il social network possa decrittografare e analizzare la propria attività telefonica, conferma un’indagine di TechCrunch.

Facebook ha ammesso a TechCrunch che stava eseguendo il programma di ricerca per raccogliere dati sulle abitudini di utilizzo.

Dal 2016, Facebook ha pagato agli utenti dai 13 ai 35 anni fino a $ 20 al mese più le spese di referenza per vendere la loro privacy installando l’app “Facebook Research” per iOS o Android. Facebook ha anche chiesto agli utenti di effettuare uno screenshot della pagina della cronologia degli ordini di Amazon. Il programma è gestito tramite servizi di beta testing Applause, BetaBound e uTest per nascondere il coinvolgimento di Facebook, ed è indicato in alcuni documenti come “Project Atlas” – un nome appropriato per lo sforzo di Facebook di mappare nuove tendenze e rivali in tutto il mondo.

Sette ore dopo la pubblicazione di questa storia, Facebook ha dichiarato a TechCrunch che avrebbe interrotto la versione iOS della sua app Research in seguito alla nostra relazione, ma mercoledì mattina, un portavoce di Apple ha confermato che Facebook ha violato le sue politiche, e si aver bloccato l’app di ricerca di Facebook  prima che il social network apparentemente la ritirasse volontariamente (senza menzionare che era obbligato a farlo). Puoi leggere il nostro rapporto completo sullo sviluppo qui.

Un portavoce di Apple ha fornito questa dichiarazione: “Abbiamo progettato il nostro programma di sviluppo aziendale esclusivamente per la distribuzione interna di app all’interno di un’organizzazione.” 

Il programma di ricerca di Facebook continuerà a funzionare su Android.

L’app di Ricerca di Facebook richiede agli utenti molta ‘Fiducia’, e un ampio accesso ai propri dati. Abbiamo chiesto all’addetto alla sicurezza di Guardian Mobile Firewall Will Strafach di scavare nell’app Ricerca di Facebook, e ci ha detto che “Se Facebook sfrutta appieno il livello di accesso che ottiene chiedendo agli utenti di installare il certificato, avrà la capacità di raccogliere continuamente i seguenti tipi di dati: messaggi privati ​​nelle app dei social media, chat nelle app di messaggistica istantanea – incluse foto / video inviati ad altri, email, ricerche sul web, attività di navigazione sul Web e persino informazioni sulla posizione in corso sfruttando i feed di tutte le app di localizzazione installate.” Non è chiaro esattamente di quali dati si occupi Facebook, ma ottiene accesso quasi illimitato al dispositivo di un utente dopo aver installato l’app.

Questa strategia mostra fino a che punto è disposto ad arrivare Facebook e quanto è disposto a pagare per proteggere la sua posizione dominante, anche a rischio di violare le regole della piattaforma iOS di Apple da cui dipende. Sembrerebbe che Apple abbia chiesto a Facebook di interrompere la distribuzione della sua app di ricerca.

Una punizione più severa sarebbe quella di revocare il permesso di Facebook di offrire app solo per i dipendenti. La situazione potrebbe ulteriormente raffreddare le relazioni tra i giganti della tecnologia. Tim Cook di Apple ha ripetutamente criticato le pratiche di raccolta dei dati di Facebook. Facebook scavalcando le politiche stabilite per iOS per ottenere più informazioni sugli utenti potrebbe portare a maggiori attriti.

Il programma di ricerca di Facebook viene indicato come Atlas di progetto nei siti di iscrizione che non menzionano il coinvolgimento di Facebook

“Installare il certificato Root consente a Facebook di accedere in modo continuo ai dati più sensibili degli utenti, la maggior parte dei quali non sarà in grado di acconsentire con piena consapevolezza delle conseguenze , indipendentemente da qualsiasi accordo sottoscritto, perché non esiste un buon modo per verificare quanta forza viene data a Facebook.

L’App di sorveglianza di Facebook

Facebook ha iniziato a occuparsi del business di sniffing dei dati quando ha acquisito Onavo per circa $ 120 milioni nel 2014. L’app VPN aiutava gli utenti a monitorare il piano dati mobile, ottimizzando il traffico, ma ha anche fornito a Facebook analisi approfondite su quali altre app gli utenti utilizzano. I documenti interni acquisiti da Charlie Warzel e Ryan Mac di  BuzzFeed News rivelano che Facebook ha potuto sfruttare Onavo per apprendere che WhatsApp inviava più di due volte il numero di messaggi al giorno di Facebook Messenger. Onavo ha permesso a Facebook di individuare l’ascesa di WhatsApp e di giustificare il pagamento di $ 19 miliardi per acquistare l’acquisto dei sistema di chat nel 2014. Da allora WhatsApp ha triplicato la sua base di utenti, dimostrando la potenza della lungimiranza di Onavo.

Nel corso degli anni, Onavo ha permesso a Facebook di capire quali app copiare, feature da compilare e flops da evitare. Entro il 2018, Facebook stava promuovendo l’app Onavo in un indice di Protect della principale app di Facebook nella speranza di aumentare il numero di utenti da spiare. Facebook ha anche lanciato l’ app Onavo Bolt che consente di proteggere l’app dietro una passcode o un’impronta digitale mentre ti sorveglia, ma Facebook ha chiuso l’app il giorno in cui è stata scoperta in seguito alle critiche sulla privacy. L’app principale di Onavo rimane disponibile su Google Play ed è stata installata più di 10 milioni di volte.

La reazione si è intensificata dopo che l’esperto di sicurezza Strafach ha dettagliato  a marzo come Onavo Protect stava segnalando a Facebook quando lo schermo di un utente era acceso o spento e il suo utilizzo di dati Wi-Fi e cellulari in byte anche quando la VPN era disattivataA giugno, Apple ha aggiornato le sue politiche sugli sviluppatori per vietare la raccolta di dati sull’utilizzo di altre app o dati che non sono necessari per il funzionamento di un’app. Apple ha informato Facebook ad agosto che Onavo Protect violava tali politiche di raccolta dati e che il social network doveva rimuoverlo dall’App Store, cosa che ha fatto, ha riferito Deepa Seetharaman del WSJ .

Ma questo non ha fermato la raccolta di dati di Facebook.

Progetto Atlas

TechCrunch ha recentemente ricevuto un suggerimento che, nonostante l’eliminazione di Onavo Protect da parte di Apple, Facebook stia pagando agli utenti di caricare una simile app VPN sotto il moniker di Facebook Research al di fuori dell’App Store. Abbiamo studiato e appreso che Facebook stava lavorando con tre servizi di beta test delle app per distribuire l’app di ricerca di Facebook: BetaBound, uTest e Applause. Facebook ha iniziato a distribuire l’app Research VPN nel 2016. È stato definito Project Atlas da almeno metà del 2018, quando il backlash di Onavo Protect si è ingrandito e Apple ha introdotto le sue nuove regole che vietavano Onavo. In precedenza, un programma simile era chiamato Project Kodiak. Facebook non ha voluto interrompere la raccolta di dati sull’uso del telefono da parte della gente e così il programma di ricerca è continuato, in dispregio del divieto di Apple di Onavo Protect.

App Ricerca di Facebook su iOS

Gli annunci (mostrati sotto) per il programma eseguito da uTest su Instagram e Snapchat cercavano ragazzi di 13-17 anni per uno “studio di ricerca sui social media a pagamento“. La pagina di registrazione per il programma di ricerca di Facebook gestito da Applause non menziona Facebook , ma cerca gli utenti “Età: 13-35 (il consenso dei genitori è richiesto per età 13-17).” Se i minori cercano di iscriversi, gli viene chiesto di ottenere il permesso dei genitori con un modulo che rivela il coinvolgimento di Facebook e dice “Non ci sono rischi noti associati al progetto, tuttavia riconosci che la natura intrinseca del progetto implica il tracciamento di informazioni personali tramite l’utilizzo di app da parte di tuo figlio. Sarai ricompensato da Applause per la partecipazione di tuo figlio.” Per i giovanissimi sempre affamati di denaro, i pagamenti sono un buon sistema per spingerli a vendere la loro privacy su Facebook.

Il sito Applause spiega quali dati potrebbero essere raccolti dall’app Ricerca Facebook (sottolineatura mia):

“Installando il software, dai ai nostri clienti il ​​permesso di raccogliere dati dal tuo telefono che li aiuterà a capire come navighi su Internet e come utilizzi le funzionalità nelle app che hai installato. . . Ciò significa che stai permettendo al nostro cliente di raccogliere informazioni quali le app sul telefono, come e quando le utilizzi, i dati relativi alle tue attività e ai contenuti all’interno di tali app, nonché il modo in cui le altre persone interagiscono con te o i tuoi contenuti all’interno di tali app. Stai anche permettendo al nostro cliente di raccogliere informazioni sulla tua attività di navigazione in internet (compresi i siti web che visiti e i dati scambiati tra il tuo dispositivo e quei siti) e il tuo uso di altri servizi online. Ci sono alcuni casi in cui il nostro cliente raccoglierà queste informazioni anche dove l’app utilizza la crittografia o all’interno di sessioni di browser sicure. “

Nel frattempo, la pagina di iscrizione di BetaBound con un URL che termina con “Atlas” spiega che “Per $ 20 al mese (tramite carte regalo elettroniche), si installerà un’app sul telefono e verrà eseguita in background.” offre $ 20 per ogni amico che si iscrive a programma su consiglio dell’utente iscritto. Questo sito inoltre non menziona inizialmente Facebook, ma il manuale di istruzioni per l’installazione di Facebook Research rivela il coinvolgimento dell’azienda.

L’intermediario di Facebook uTest ha pubblicato annunci su Snapchat e Instagram, attirando gli adolescenti verso il programma di ricerca con la promessa di denaro.

Sembra che Facebook abbia intenzionalmente evitato TestFlight, il sistema ufficiale di beta test di Apple, che richiede che le app siano revisionate da Apple ed è limitata a 10.000 partecipanti. Invece, il manuale di istruzioni rivela che gli utenti scaricano l’app da r.facebook-program.com e gli viene detto di installare un certificato Enterprise Developer e VPN e di “Trust” Facebook con accesso root ai dati trasmessi dal telefono. Apple richiede che gli sviluppatori accettino di utilizzare questo sistema di certificati solo per distribuire app aziendali interne ai propri dipendenti. Reclutare in modo casuale i tester e pagarli mensilmente sembra violare lo spirito di quella regola.

L’esperto di sicurezza Will Strafach ha trovato l’app di ricerca di Facebook contenente un sacco di codice da Onavo Protect, l’app di proprietà di Apple che Apple ha bandito l’anno scorso

Una volta installata l’app, gli utenti dovevano semplicemente mantenere la VPN in esecuzione e inviare dati a Facebook per essere pagati. Il programma amministrato da applause richiedeva agli utenti di effettuare uno screenshot della loro pagina degli ordini di Amazon. Questi dati potrebbero potenzialmente aiutare Facebook a legare le abitudini di navigazione e l’utilizzo di altre app con preferenze e comportamenti di acquisto. Queste informazioni potrebbero essere sfruttate per individuare il targeting per annunci commerciali e capire quali tipi di utenti comprano cosa.

TechCrunch ha incaricato Strafach di analizzare l’app di ricerca di Facebook e scoprire dove stava inviando i dati. Ha confermato che i dati sono indirizzati a ” vpn-sjc1.v.facebook-program.com “che è associato all’indirizzo IP di Onavo, e che il dominio facebook-program.com è registrato su Facebook, secondo MarkMonitor. L’app può aggiornarsi senza interagire con l’App Store ed è collegata all’indirizzo email PeopleJourney@fb.com. Ha anche scoperto che il certificato Enterprise acquisito per la prima volta nel 2016 indica che Facebook lo ha rinnovato il 27 giugno 2018 – settimane dopo che Apple aveva annunciato le sue nuove regole che vietavano la simile app Onavo Protect.

È complicato sapere quali dati sta effettivamente salvando Facebook (senza accesso ai loro server). L’unica informazione che si può dedurre è ciò che l’accesso a Facebook è in grado di carpire in base al codice dell’app. E dipinge un’immagine molto preoccupante”, spiega Strafach. “Potrebbero rispondere e sostenere che salvano e conservano solo dati limitati molto specifici, e questo potrebbe essere vero, si riduce davvero tutto a quanto ci si può fidare di ciò che Facebook dichiara di fare. La narrazione più caritatevole di questa situazione sarebbe che Facebook non ha pensato troppo al livello di accesso che stavano concedendo a se stessi… Che sarebbe un sorprendente livello di incuria in sé, se fosse così.”

“Sfida flagrante delle regole di Apple”

In risposta all’inchiesta di TechCrunch, un portavoce di Facebook ha confermato che sta eseguendo il programma per imparare come le persone usano i loro telefoni e altri servizi. Il portavoce ci ha detto: “Come molte aziende, invitiamo le persone a partecipare a ricerche che ci aiutano a identificare le cose che possiamo fare meglio. Poiché questa ricerca ha lo scopo di aiutare Facebook a capire come le persone utilizzano i loro dispositivi mobili, abbiamo fornito ampie informazioni sul tipo di dati che raccogliamo e su come possono partecipare. Non condividiamo queste informazioni con gli altri e le persone possono interrompere la partecipazione in qualsiasi momento.”

L’app di ricerca di Facebook richiede l’accesso al certificato di root, che raccoglie quasi tutti i dati trasmessi dal tuo telefono

Il portavoce di Facebook ha affermato che l’app di ricerca di Facebook era in linea con il programma di certificazione aziendale di Apple. Ha anche detto che Facebook ha lanciato per la prima volta il suo programma di app di ricerca nel 2016. Hanno cercato di associare il programma a un focus group e hanno detto che Nielsen e comScore eseguono programmi simili, ma nessuno di questi chiede alle persone di installare una VPN o fornire l’accesso di root alla rete. Il portavoce ha confermato che il programma di ricerca di Facebook recluta adolescenti ma anche altre fasce d’età da tutto il mondo. Hanno affermato che Onavo e Facebook Research sono programmi separati, ma ha ammesso che sono entrambi supportati dallo stesso team come spiegazione del perché il loro codice fosse così simile.

Il programma di ricerca di Facebook ha richiesto agli utenti di effettuare uno screenshot della cronologia degli ordini di Amazon per fornirgli i dati di acquisto

l’affermazione di Facebook di non violare la policy del Certificato Enterprise di Apple è direttamente contraddetta dai termini di tale policy. Tra questi, gli sviluppatori “Distribuiscono i profili di provisioning solo ai dipendenti e solo in combinazione con le applicazioni per uso interno allo scopo di sviluppare e testare“. La policy stabilisce inoltre che “non è possibile utilizzare, distribuire o altrimenti rendere disponibili le Applicazioni per uso interno ai propri clienti” se non sotto la diretta supervisione di dipendenti o locali aziendali. Dato che i clienti di Facebook utilizzano l’app con certificazione Enterprise senza supervisione, sembra che Facebook stia violando tale policy.

Sette ore dopo la pubblicazione di questo rapporto, Facebook ha aggiornato la sua posizione e ha dichiarato a TechCrunch che avrebbe chiuso l’app di ricerca iOS. Facebook ha notato che l’app Ricerca è stata avviata nel 2016 e quindi non è stata sostituita da Onavo Protect. Tuttavia, condividono codice simile e potrebbero essere visti come gemelli in esecuzione in parallelo. Un portavoce di Facebook ha anche fornito questa dichiarazione aggiuntiva:

“I fatti chiave su questo programma di ricerca di mercato vengono ignorati. Nonostante le prime notizie, non c’era nulla di “segreto” in questo; è stato letteralmente chiamata l’app di ricerca di Facebook. Non si trattava di “spiare”, poiché tutte le persone che si sono iscritte a partecipare hanno attraversato un chiaro processo di iscrizione chiedendo il loro permesso e sono stati pagati per partecipare. Infine, meno del 5% delle persone che hanno scelto di partecipare a questo programma di ricerca di mercato erano adolescenti. Tutti loro con i moduli di consenso dei genitori firmati. “

Facebook non ha pubblicamente promosso la stessa VPN di ricerca e ha utilizzato intermediari che spesso non rivelavano il coinvolgimento di Facebook fino a quando gli utenti non iniziavano la procedura di registrazione. Mentre agli utenti sono state fornite istruzioni e avvertenze chiare, il programma non sottolinea né menziona l’intera portata dei dati che Facebook può raccogliere tramite la VPN. Solo una piccola minoranza degli utenti pagati potrebbero essere stati minorenni, ma colpisce la scelta di Facebook di non escludere i minorenni da questa iniziativa di raccolta dati.

Facebook disobbedendo a Apple in modo così diretto potrebbe danneggiare il rapporto tra le due aziende. “Il codice in questa app per iOS indica chiaramente che si tratta semplicemente di una build poco rinomatanota della app Onavo già bandita, che ora utilizza un Certificato Enterprise di proprietà di Facebook in diretta violazione delle regole di Apple, consentendo a Facebook di distribuire questa app senza revisione Apple a tutti gli utenti che vuole“, ci dice Strafach. I prefissi ONV e le menzioni di graph.onavo.com, “onavoApp: //” e “onavoProtect: //” schemi URL personalizzati scaricano l’app. “Questa è una grave violazione su molti fronti e spero che Apple agisca rapidamente nel revocare il certificato di firma per rendere l’app inutilizzabile.”

Facebook è particolarmente interessato a ciò che gli adolescenti fanno sui loro telefoni in quanto l’utenza giovane sta progressivamente abbandonando il social network a favore di Instagram e Snapchat. Approfondimenti sulla popolarità presso gli adolescenti delle l’app di musica e video cinese TikTok e la condivisione di meme hanno portato Facebook a lanciare un clone chiamato Lasso e iniziare a sviluppare una funzione di ricerca meme chiamata LOL, come riportato da TechCrunch. L’interesse di Facebook per i dati sugli adolescenti stimola le critiche in un momento in cui la società è sotto il fuoco della stampa. Gli analisti che studiano i ritorni economici futuri di  Facebook dovrebbero informarsi su quali altri modi la società utilizzerà per raccogliere informazioni sulla concorrenza ora che non è più in grado di eseguire il programma di ricerca su iOS.

L’anno scorso, quando a Tim Cook fu chiesto cosa avrebbe fatto nella posizione di Mark Zuckerberg sulla scia dello scandalo Cambridge Analyticadisse “Io non sarei in questa situazione… La verità è che potremmo fare un sacco di soldi se monetizzassimo il nostro cliente, se il nostro cliente fosse il nostro prodotto ma abbiamo scelto di non farlo.”

Ora è chiaro che anche dopo gli avvertimenti di Apple e la rimozione di Onavo Protect, Facebook stava ancora raccogliendo dati in maniera aggressiva sui suoi concorrenti tramite la piattaforma iOS di Apple. “Non ho mai visto una sfida così aperta e flagrante alle regole di Apple da parte di uno sviluppatore dell’App Store“, ha concluso Strafach. Ora che Facebook ha cessato il programma su iOS e il suo futuro su Android è incerto, potrebbe dover inventare nuovi modi per sorvegliare il nostro comportamento continuando a violare la nostra privacy.

Segnalazione aggiuntiva di Zack Whittaker. Aggiornato con commenti da Facebook e mercoledì con una dichiarazione di Apple. 

Facebook pays teens to install VPN that spies on them

Fonte: https://techcrunch.com/2019/01/29/facebook-project-atlas/