(圖片來源:Upsplash)
本周,外媒TechCrunch揭露Facebook和谷歌濫用蘋果頒發的企業內部證書,發布面向消費者的「調查」程序,而實質在進行付費買用戶隱私的勾當。之後,蘋果撤銷了兩家公司的企業證書,最後兩家科技巨頭的內部應用相應停工。外界指責是必然,尤其是Facebook的應用收集的信息更多,有可能面臨歐盟GDPR的制裁。
在事件發酵後,Facebook的內部應用程式已經停止運作了大約一天,而谷歌的內部應用程式停機了幾個小時。然而,Facebook或谷歌的消費者服務都沒有受到影響。
雖然,蘋果公司這樣的做法無可厚非,而且也算是站在消費者的角度處理這次問題。但是在一切的背後,有些歐美圈消費者也對蘋果因為旗下設備而掌握的巨大權利,而感到不安。
同時,Facebook和谷歌的「調查」程序不是市場上的單一產品,其他公司也存在濫用企業證書而損害消費者隱私的情況。
至於進一步的後續只能密切關注,而現在我們來回顧和整理這次應用程式醜聞事件。
一切是怎麼開始的?
本周一,TechCrunch透露,Facebook濫用蘋果頒發的企業證書,該證書本來僅供公司發布內部員工專用的應用程式,無須通過蘋果的App Store。但這家社交媒體巨頭利用該證書籤發了Facebook公司外部使用的應用,違反了蘋果公司的規定。
應用程式「Facebook Research」一旦安裝,Facebook可以訪問設備的所有數據,包括一些用戶最敏感的網絡數據。而作為回報,Facebook會給安裝應用程式的用戶(包括青少年)每月支付20美元。但目前尚不清楚被利用的數據類型,以及這樣做的原因。
事實證明,該應用程式是一個重新打包的應用程式,而去年已經被蘋果禁止,從App Store中收集過多的用戶數據。
而蘋果公司很生氣,Facebook濫用其特別發布給企業的證書來推送已經禁止的應用程式,而之後蘋果馬上撤銷授權,而這款應用也無法使用。但是,Facebook也在使用相同的證書來籤發其他僅限員工使用的應用程式,蘋果撤銷證書也會影響這部分應用,除非蘋果重新頒發證書。
Facebook並不寂寞,谷歌的Screenwise應用程式也一樣犯了這個錯,而後果也是一樣的,蘋果禁令再一次出現。
企業證書是什麼?權限包括哪些?
如果想開發蘋果應用程式,就必須遵守蘋果的規則。
一個關鍵規定是蘋果不允許應用程式開發人員繞過App Store,每個應用程式都要經過審查才能上線,以確保儘可能安全。
但是,蘋果確實為企業開發人員提供了例外,例如,有公司希望構建僅由員工在內部使用的應用程式。在這種情況下,Facebook和谷歌籤約成為企業開發者,並同意蘋果的開發者條款。
每個蘋果頒發的證書都會授予公司發布僅限內部使用應用程式的權限,包括製作的應用程式預發布版本,用於測試目的。但是這些證書不允許發布針對普通消費者的程序,後者必須通過App Store下載應用程式。
(圖片來源:Upsplash)
什麼是「根」證書,為什麼它的訪問權限這麼大?
由於Facebook Research和Google Screenwise應用程式繞過了蘋果的App Store發布,因此需要用戶手動安裝應用程式,這個過程也叫做側面下載。用戶通過複雜的幾個步驟下載才能完成安裝,打開並信任Facebook或谷歌的企業開發人員代碼籤名證書,允許該應用程式運行。
安裝應用程式後,兩家公司都要求用戶同意額外的配置步驟,VPN配置文件,允許匯集該用戶手機流出的所有數據到一個特殊的渠道,將其全部導向Facebook或谷歌。
然而,Facebook和谷歌的案例不同。
谷歌的Screenwise應用程式收集數據,之後會發送給谷歌用於研究,但無法訪問加密數據,例如受HTTPS保護的網絡流量內容,而App Store和網際網路網站中的大多數應用都是如此。
然而,Facebook管的「更寬」,用戶會被要求通過額外步驟,信任手機「根」級別的證書。而用戶信任Facebook Research根證書授權之後,社交媒體巨頭就可以查看流出設備的所有加密流量。
Facebook可以篩選郵件、電子郵件以及從手機發出的任何其他數據。只有使用證書鎖定的應用程式(拒絕任何非應用證書的程序)才受到保護,例如iMessage、Signal以及任何端到端加密解決方案。
谷歌的應用程式可能無法查看加密流量,但谷歌仍然違反了蘋果的規則,也被取消了單獨的企業開發人員代碼籤署證書。
Facebook可以在iOS上訪問哪些數據?
雖然很難確切知道具體情況,但它肯定比谷歌獲得的數據更多。
Facebook表示其應用程式旨在幫助它「了解人們如何使用他們的行動裝置。」實際上,使用根證書,Facebook可以訪問從手機發出的任何類型數據。
安全專家Will Strafach表示:「如果Facebook充分利用要求用戶安裝證書而獲得訪問級別,他們可以不斷收集以下類型的數據:社交媒體應用中的私人消息、即時消息應用中的聊天信息,包括發送給他人的照片/視頻、電子郵件、網絡搜索、網絡瀏覽活動,甚至是持續的位置信息。」
(圖片來源:Upsplash)
跟其他市場研究計劃的技術相比,Facebook和谷歌的應用如何?
公平地說,並不只是Facebook或谷歌獨創這類市場研究應用程式。其他幾家公司,如Nielsen和comScore,也運行類似的程序,但他們都沒有要求用戶安裝VPN或提供對網絡的「根證書」訪問權限。
無論如何,Facebook已經有很多數據,谷歌也一樣,這些信息包括你跟誰交談、什麼時候進行、持續多長時間、在怎樣的情況下進行等。
兩款程序可以收集跟安裝應用者互動的數據嗎?
在這兩種情況下,是的。
使用谷歌Screenwise的人,任何涉及他人數據的未加密數據都可能被收集。而Facebook Research收集的更多,任何與他人互動的數據比如電子郵件或消息,都可能是通過Facebook的應用程式收集的。
有多少人安裝了這些程序?
很難確切知道。谷歌和Facebook都沒有透露他們有多少用戶,估計是成千上萬。從雙方的員工來看,Facebook擁有超過35000名員工,谷歌擁有超過94000名員工。
蘋果撤銷證書後,為什麼Facebook和谷歌的內部應用程式崩潰?
雖然蘋果設備在用戶手中,但蘋果仍可控制其中的內容。
蘋果沒辦法控制Facebook的根證書,但它可以控制它發布的企業證書。
在Facebook被發現後,蘋果表示:「任何使用企業證書向消費者發布應用程式的開發者都會被撤銷證書,這就是我們在這種情況下保護用戶及其數據的方式。」
這意味著任何依賴Facebook企業證書的應用程式,包括公司內部,將無法加載,不僅僅包括工作人員正在開發的Facebook、Instagram和WhatsApp的預發布版本。
據報導Facebook的旅行和協作應用程式已經關閉。而谷歌方面,甚至餐飲和午餐菜單應用程式都被關閉了。
Facebook的內部應用程式已經停止運作了大約一天,而谷歌的內部應用程式卻只停機了幾個小時。然而,Facebook或谷歌的消費者服務都沒有受到影響。
(圖片來源:Upsplash)
在這個過程中,歐美消費者如何看待蘋果?
當然,沒有人為Facebook或谷歌喊冤,但也沒有多少人對蘋果公司感到滿意。雖然蘋果銷售的硬體不會像Facebook和谷歌這樣使用用戶數據然後提供廣告,但有些人認為,蘋果對使用其設備的客戶和企業擁有很大的權力,他們感到不安。
在撤銷Facebook和谷歌的企業證書並導致應用停機時,蘋果的舉動在內部具有連鎖效應。
Facebook這樣的做法在美國是否合法?在推出了GDPR條例的歐洲呢?
嗯,在美國這不是非法的,至少Facebook說它獲得了用戶的同意。該公司甚至表示,青少年用戶必須獲得父母的同意,雖然這項同意認可很容易被跳過,也沒有進行驗證檢查。甚至沒有明確表示,「同意」的孩子真正了解他們要被查看多少隱私。
而在歐洲,這可能導致嚴重的監管問題。Natasha Lomas表示:「如果事實證明歐洲青少年參與了研究工作,Facebook可能會面臨根據歐盟《通用數據保護條例》(GDPR)而制裁的另一輪投訴,以及任何當地機構認定未能履行而可能帶來的罰款。
還有哪些公司濫用證書?
不是只有Facebook和谷歌推出類似的程序。事實證明,很多公司也可能違反規則。
根據社交媒體上許多公司的說法,Sonos使用企業證書進行測試計劃,而財務應用程式Binance和DoorDash也一樣。目前還不確定蘋果會不會也撤銷這些企業的證書。
等待Facebook的會是什麼?
Facebook固然會面臨很多指責,但至少今年不要指望這種情況很快就會消失。
Facebook可能會受到歐洲以及美國政府進一步的監管。兩位美國參議員,馬克·華納和理察·布盧門撒爾已經呼籲採取行動,指責Facebook「監聽青少年」。如果布盧門撒爾的呼籲成功,聯邦貿易委員會也可能會調查。
本文來源前瞻網,轉載請註明來源。本文內容僅代表作者個人觀點,本站只提供參考並不構成任何投資及應用建議。(若存在內容、版權或其它問題,請聯繫:service@qianzhan.com) 品牌合作與廣告投放請聯繫:0755-33015062 或 hezuo@qianzhan.com