尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
(圖片來源:Upsplash)
本周,外媒TechCrunch揭露Facebook和Google濫用蘋果頒發的企業內部證書,發布面向消費者的「調查」程序,而實質在進行付費買用戶隱私的勾當。之後,蘋果撤銷了兩家公司的企業證書,最後兩家科技巨頭的內部應用相應停工。外界指責是必然,尤其是Facebook的應用收集的信息更多,有可能面臨歐盟GDPR的制裁。
在事件發酵後,Facebook的內部應用程序已經停止運作了大約一天,而Google的內部應用程序停機了幾個小時。然而,Facebook或Google的消費者服務都沒有受到影響。
雖然,蘋果公司這樣的做法無可厚非,而且也算是站在消費者的角度處理這次問題。但是在一切的背後,有些歐美圈消費者也對蘋果因為旗下設備而掌握的巨大權利,而感到不安。
同時,Facebook和Google的「調查」程序不是市場上的單一產品,其他公司也存在濫用企業證書而損害消費者隱私的情況。
至於進一步的後續只能密切關注,而現在我們來回顧和整理這次應用程序醜聞事件。
一切是怎麼開始的?
本周一,TechCrunch透露,Facebook濫用蘋果頒發的企業證書,該證書本來僅供公司發布內部員工專用的應用程序,無須通過蘋果的App Store。但這家社交媒體巨頭利用該證書簽發了Facebook公司外部使用的應用,違反了蘋果公司的規定。
應用程序「Facebook Research」一旦安裝,Facebook可以訪問設備的所有數據,包括一些用戶最敏感的網路數據。而作為回報,Facebook會給安裝應用程序的用戶(包括青少年)每月支付20美元。但目前尚不清楚被利用的數據類型,以及這樣做的原因。
事實證明,該應用程序是一個重新打包的應用程序,而去年已經被蘋果禁止,從App Store中收集過多的用戶數據。
而蘋果公司很生氣,Facebook濫用其特別發布給企業的證書來推送已經禁止的應用程序,而之後蘋果馬上撤銷授權,而這款應用也無法使用。但是,Facebook也在使用相同的證書來簽發其他僅限員工使用的應用程序,蘋果撤銷證書也會影響這部分應用,除非蘋果重新頒發證書。
Facebook並不寂寞,Google的Screenwise應用程序也一樣犯了這個錯,而後果也是一樣的,蘋果禁令再一次出現。
企業證書是什麼?權限包括哪些?
如果想開發蘋果應用程序,就必須遵守蘋果的規則。
一個關鍵規定是蘋果不允許應用程序開發人員繞過App Store,每個應用程序都要經過審查才能上線,以確保盡可能安全。
但是,蘋果確實為企業開發人員提供了例外,例如,有公司希望構建僅由員工在內部使用的應用程序。在這種情況下,Facebook和Google簽約成為企業開發者,並同意蘋果的開發者條款。
每個蘋果頒發的證書都會授予公司發布僅限內部使用應用程序的權限,包括製作的應用程序預發布版本,用於測試目的。但是這些證書不允許發布針對普通消費者的程序,後者必須通過App Store下載應用程序。
(圖片來源:Upsplash)
什麼是「根」證書,為什麼它的訪問權限這麼大?
由於Facebook Research和Google Screenwise應用程序繞過了蘋果的App Store發布,因此需要用戶手動安裝應用程序,這個過程也叫做側面下載。用戶通過複雜的幾個步驟下載才能完成安裝,打開並信任Facebook或Google的企業開發人員代碼簽名證書,允許該應用程序運行。
安裝應用程序後,兩家公司都要求用戶同意額外的配置步驟,VPN配置文件,允許匯集該用戶手機流出的所有數據到一個特殊的管道,將其全部導向Facebook或Google。
然而,Facebook和Google的案例不同。
Google的Screenwise應用程序收集數據,之後會發送給Google用於研究,但無法訪問加密數據,例如受HTTPS保護的網路流量內容,而App Store和互聯網網站中的大多數應用都是如此。
然而,Facebook管的「更寬」,用戶會被要求通過額外步驟,信任手機「根」級別的證書。而用戶信任Facebook Research根證書授權之後,社交媒體巨頭就可以查看流出設備的所有加密流量。
Facebook可以篩選郵件、電子郵件以及從手機發出的任何其他數據。只有使用證書鎖定的應用程序(拒絕任何非應用證書的程序)才受到保護,例如iMessage、Signal以及任何端到端加密解決方案。
Google的應用程序可能無法查看加密流量,但Google仍然違反了蘋果的規則,也被取消了單獨的企業開發人員代碼簽署證書。
Facebook可以在iOS上訪問哪些數據?
雖然很難確切知道具體情況,但它肯定比Google獲得的數據更多。
Facebook表示其應用程序旨在幫助它「了解人們如何使用他們的移動設備。」實際上,使用根證書,Facebook可以訪問從手機發出的任何類型數據。
安全專家Will Strafach表示:「如果Facebook充分利用要求用戶安裝證書而獲得訪問級別,他們可以不斷收集以下類型的數據:社交媒體應用中的私人消息、即時消息應用中的聊天信息,包括發送給他人的照片/視頻、電子郵件、網路搜尋、網路瀏覽活動,甚至是持續的位置信息。」
(圖片來源:Upsplash)
跟其他市場研究計劃的技術相比,Facebook和Google的應用如何?
公平地說,並不只是Facebook或Google獨創這類市場研究應用程序。其他幾家公司,如Nielsen和comScore,也運行類似的程序,但他們都沒有要求用戶安裝VPN或提供對網路的「根證書」訪問權限。
無論如何,Facebook已經有很多數據,Google也一樣,這些信息包括你跟誰交談、什麼時候進行、持續多長時間、在怎樣的情況下進行等。
兩款程序可以收集跟安裝應用者互動的數據嗎?
在這兩種情況下,是的。
使用GoogleScreenwise的人,任何涉及他人數據的未加密數據都可能被收集。而Facebook Research收集的更多,任何與他人互動的數據比如電子郵件或消息,都可能是通過Facebook的應用程序收集的。
有多少人安裝了這些程序?
很難確切知道。Google和Facebook都沒有透露他們有多少用戶,可能是成千上萬。從雙方的員工來看,Facebook擁有超過35000名員工,Google擁有超過94000名員工。
蘋果撤銷證書後,為什麼Facebook和Google的內部應用程序崩潰?
雖然蘋果設備在用戶手中,但蘋果仍可控制其中的內容。
蘋果沒辦法控制Facebook的根證書,但它可以控制它發布的企業證書。
在Facebook被發現後,蘋果表示:「任何使用企業證書向消費者發布應用程序的開發者都會被撤銷證書,這就是我們在這種情況下保護用戶及其數據的方式。」
這意味著任何依賴Facebook企業證書的應用程序,包括公司內部,將無法加載,不僅僅包括工作人員正在開發的Facebook、Instagram和WhatsApp的預發布版本。
據報導Facebook的旅行和協作應用程序已經關閉。而Google方面,甚至餐飲和午餐菜單應用程序都被關閉了。
Facebook的內部應用程序已經停止運作了大約一天,而Google的內部應用程序卻只停機了幾個小時。然而,Facebook或Google的消費者服務都沒有受到影響。
(圖片來源:Upsplash)
在這個過程中,歐美消費者如何看待蘋果?
當然,沒有人為Facebook或Google喊冤,但也沒有多少人對蘋果公司感到滿意。雖然蘋果銷售的硬件不會像Facebook和Google這樣使用用戶數據然後提供廣告,但有些人認為,蘋果對使用其設備的客戶和企業擁有很大的權力,他們感到不安。
在撤銷Facebook和Google的企業證書並導致應用停機時,蘋果的舉動在內部具有連鎖效應。
Facebook這樣的做法在美國是否合法?在推出了GDPR條例的歐洲呢?
嗯,在美國這不是非法的,至少Facebook說它獲得了用戶的同意。該公司甚至表示,青少年用戶必須獲得父母的同意,雖然這項同意認可很容易被跳過,也沒有進行驗證檢查。甚至沒有明確表示,「同意」的孩子真正了解他們要被查看多少隱私。
而在歐洲,這可能導致嚴重的監管問題。Natasha Lomas表示:「如果事實證明歐洲青少年參與了研究工作,Facebook可能會面臨根據歐盟《通用數據保護條例》(GDPR)而制裁的另一輪投訴,以及任何當地機構認定未能履行而可能帶來的罰款。
還有哪些公司濫用證書?
不是只有Facebook和Google推出類似的程序。事實證明,很多公司也可能違反規則。
根據社交媒體上許多公司的說法,Sonos使用企業證書進行測試計劃,而財務應用程序Binance和DoorDash也一樣。目前還不確定蘋果會不會也撤銷這些企業的證書。
等待Facebook的會是什麼?
Facebook固然會面臨很多指責,但至少今年不要指望這種情況很快就會消失。
Facebook可能會受到歐洲以及美國政府進一步的監管。兩位美國參議員,馬克·華納和理查德·布盧門撒爾已經呼籲採取行動,指責Facebook「監聽青少年」。如果布盧門撒爾的呼籲成功,聯邦貿易委員會也可能會調查。