• 7.88C Novo mesto
  • 01:37
  • Pon, 22.04.2019
  • Prijava
  • Registracija

Kaj se je dogajalo v Facebook-Google-Apple škandalu z aplikacijami

DELITE Z OSTALIMI:
GLASUJ:

Facebook in Google sta ta teden po dveh preiskavah, z Apple-om pristala v vroči vodi. Vas zanima, kaj se je zgodilo? Tukaj je vse, kar morate vedeti.

Kako se je vse to začelo in kaj se je zgodilo?

Facebook je zlorabil Applov certifikat podjetja, ki je namenjen le podjetjem za distribucijo notranjih aplikacij, te pa so namenjene samo zaposlenim. Velikan socialnih omrežij je uporabil to potrdilo, da je podpisal aplikacijo, ki jo je Facebook distribuiral zunaj podjetja, kar je kršilo Applova pravila.

Aplikacija, preprosto znana kot Research ali »Raziskave«, je Facebooku omogočila neprimerljiv dostop do vseh podatkov, ki izhajajo iz naprave. To je vključevalo dostop do nekaterih najbolj občutljivih omrežnih podatkov uporabnikov. Facebook plačuje uporabnikom – vključno z najstniki – 20 dolarjev na mesec za namestitev aplikacije. Toda ni bilo jasno, kakšni podatki so bili zajeti ali iz kakšnega razloga.

Izkazalo se je, da je bila aplikacija prepakirana aplikacija, ki je bila lansko leto dejansko prepovedana v Applovi App Store za zbiranje preveč podatkov o uporabnikih.

Pri podjetju Apple so se razjezili, ker je Facebook zlorabljal certifikate podjetja za posebno izdajo, da bi potisnil aplikacijo, ki jo je že prepovedal, in jo preklical – aplikacije ni mogel odpreti. Toda Facebook je uporabljal isti certifikat, da je podpisal svoje druge aplikacije, ki so bile na voljo samo zaposlenim, in jih dejansko uničil, dokler Apple ni ponovno izdal certifikata.

Potem se je izkazalo, da je Google delal skoraj povsem enako s svojo aplikacijo Screenwise, in Apple je bil spet na tapeti.

Kakšni so spori o teh podjetniških potrdilih in kaj lahko storijo?

Če želite razviti Applove aplikacije, morate spoštovati njihova pravila – Apple izrecno narekuje, da se podjetja strinjajo z njenimi pogoji.

Ključno pravilo je, da Apple ne dovoli razvijalcem aplikacij, da bi zaobšle App Store, kjer je vsaka aplikacija preverjena, da se zagotovi, da je varna, kot je le lahko. Vendar pa odobri izjeme za razvijalce podjetij, na primer za podjetja, ki želijo izdelati aplikacije, ki jih zaposleni uporabljajo samo interno. Facebook in Google sta se v tem primeru prijavila kot razvijalec aplikacije za podjetje in se strinjala z Applovimi pogoji za razvijalce.

Vsak certifikat, ki ga je izdal Apple, podjetjem dovoljuje, da distribuirajo aplikacije, ki jih razvijajo interno – vključno s predhodnimi različicami aplikacij, ki jih izdelujejo, za namene testiranja. Vendar teh potrdil ni dovoljeno uporabljati za navadne potrošnike, saj morajo prenesti aplikacije prek App Store.

Kaj je “korenski” certifikat in zakaj je njegov dostop velik?

Ker so bile Facebookova »Research« in Googlova aplikacija »Screenwise« razdeljene izven Applovega App Storea, so morali uporabniki ročno namestiti aplikacijo – znano kot sideloading. To od uporabnikov zahteva, da preidejo v nekaj zapletenih korakov prenosa same aplikacije in odprejo in zaupajo Facebooku ali Googlovemu certifikatu za podpisovanje kode za razvijalce podjetij, kar aplikaciji omogoča izvajanje.

Obe družbi sta zahtevali od uporabnikov po namestitvi aplikacije, da se strinjajo z dodatnim korakom konfiguracije, znanim kot profil za konfiguracijo VPN, ki omogoča, da vsi podatki, ki izhajajo iz telefona tega uporabnika, usmerijo in uporabljajo poseben tunel, ki ga usmerja v Facebook ali Google. Odvisno od aplikacije, ki ste jo namestili.

Googlova aplikacija je zbrala podatke in jih poslala Googlu v raziskovalne namene, vendar ni mogla dostopati do šifriranih podatkov, kot je vsebina omrežnega prometa, ki je zaščiten s strani HTTPS, saj je večina aplikacij v App Store in na spletnih mestih.

Facebook pa je šel še korak dlje. Njegovi uporabniki so bili pozvani, da opravijo dodaten korak, da bi zaupali dodatnemu tipu certifikata na “korenski” ravni telefona. Zaupanje temu organu za korenske certifikate Facebookove Research je velikanu socialnih medijev omogočilo, da pogleda ves šifrirani promet, ki teče iz naprave – v bistvu to, kar imenujemo napad človek-v-sredini. To je Facebooku omogočilo, da prebere vaša sporočila, e-poštna sporočila in vse druge podatke, ki zapustijo vaš telefon. Zaščitene so bile samo aplikacije, ki uporabljajo zapiranje certifikata – ki zavrača katero koli potrdilo, ki ni njegovo, na primer iMessage, Signal in druge šifrirane rešitve.

Googlova aplikacija morda ni mogla pregledati šifriranega prometa, vendar je podjetje še vedno kršilo pravila – imelo je tudi ločeno potrdilo o podpisovanju kode za razvijalce podjetja.

Facebook-Google-Apple

Katere podatke je imel Facebook na iOS-u?

Težko je natančno vedeti, vendar je zagotovo imel dostop do več podatkov kot Google.

Iz Facebooka so povedali, da je njegova aplikacija pomagala »razumeti, kako ljudje uporabljajo svoje mobilne naprave«. V resnici bi lahko na korenski ravni Facebook dostopal do kakršnih koli podatkov, ki so zapustili vaš telefon.

Če Facebook v celoti izkoristi raven dostopa, ki jo dobijo, tako da od uporabnikov zahteva, da namestijo certifikat, bodo imeli možnost nenehno zbirati naslednje vrste podatki: zasebna sporočila v aplikacijah za družabne medije, klepeti iz aplikacij za takojšnje sporočanje – vključno s fotografijami / videoposnetki, poslanimi drugim, e-poštnimi sporočili, spletnim iskanjem, dejavnostjo brskanja po spletu in celo podatki o lokaciji, ki jih lahko vnašate v vire vseh aplikacij, ki imajo nameščene nastavitve za sledenje lokaciji.

Kako se to primerja s tehničnimi načini delovanja drugih programov tržnih raziskav?

Pravzaprav to niso aplikacije za tržne raziskave, ki so edinstvene za Facebook ali Google. Nekatera druga podjetja, kot sta Nielsen in comScore, izvajajo podobne programe, vendar ne zahtevajo od uporabnikov, da namestijo VPN ali omogočijo korenski dostop do omrežja.

V vsakem primeru ima Facebook že veliko vaših podatkov – kot tudi Google. Tudi če bi podjetja želela le pregledati vaše podatke skupaj z drugimi ljudmi, se lahko še vedno osredotočajo na to, s kom govorite, kdaj in kako dolgo. Mogoče ne bi bilo tako eksplozivnega škandala, če Facebook ne bi zadnje leto posegal po več kršitvah varnosti in zasebnosti uporabnikov.

Ali lahko zajamejo podatke oseb, s katerimi je lastnik telefona v stiku?

V obeh primerih, da. V Googlovem primeru so bili zbrani vsi nekodirani podatki, ki vključujejo podatke druge osebe. V primeru Facebooka gre še dlje – vsi vaši podatki, ki so povezani z drugo osebo (e-pošta ali sporočilo), so bili zbrani pri Facebooku.

Na koliko ljudi je to vplivalo?

Težko je vedeti zagotovo. Ne Google, ne Facebook nista povedala, koliko uporabnikov je preneslo aplikacijo. Med njimi naj bi bilo na tisoče oškodovancev. Facebook ima več kot 35.000 zaposlenih, Google pa ima več kot 94.000 zaposlenih.

Zakaj so se notranje aplikacije na Facebooku in Googlu zlomile, ko je Apple preklical certifikate?

Apple ne more nadzorovati korenskih potrdil Facebooka, lahko pa nadzoruje izdaje certifikatov podjetja. Po tem, ko je bil Facebook ujet, so iz podjetja Apple sporočili: »Vsak razvijalec, ki uporablja svoje podjetniške certifikate za distribucijo aplikacij potrošnikom, je preklical svoje certifikate, kar smo v tem primeru storili za zaščito naših uporabnikov in njihovih podatkov.«. V Googlovem primeru so se zmanjšale tudi aplikacije za gostinstvo in meni za kosilo.

Notranje aplikacije za Facebook so bile za približno en dan omejene, medtem ko so bile Googlove notranje aplikacije omejene le za nekaj ur. Nobena od storitev za potrošnike Facebooka ali Googla pa ni bila prizadeta.

Kako ljudje gledajo Apple v vsem tem?

Zdi se, da v tem trenutku nihče ni navdušen nad Facebookom ali Googlom. Čeprav Apple prodaja strojno opremo in ne uporablja vaših podatkov za profiliranje ali prikazovanje oglasov, kot jih Facebook in Google, so nekateri ogorčeni glede tega, koliko moči ima Apple nad strankami in podjetji, ki uporabljajo njihove naprave.

Pri preklicu Facebookovih in Googlovih certifikatov podjetij in povzročanju izpadov je interni učinek nelagoden.

Ali je to zakonito v ZDA? Kaj pa v Evropi z GDPR?

No, to ni nezakonito – v Facebooku v ZDA pravijo, da so pridobili soglasje svojih uporabnikov. Družba je celo povedala, da morajo njihovi najstniški uporabniki pridobiti soglasje staršev, čeprav je bilo to mogoče zlahka preskočiti in preverjanja niso bila opravljena. Niti izrecno ni bilo jasno, da so otroci, ki so se »strinjali«, resnično razumeli, koliko zasebnosti dejansko predajajo.

To bi lahko vodilo do velikih regulativnih glavobolov. Če se izkaže, da so evropski najstniki sodelovali v raziskovalnih prizadevanjih, bi se lahko Facebook soočil z drugo grožnjo pritožb v skladu z Uredbo o splošnih podatkih o zaščiti podatkov (GDPR) – in možnostjo velikih denarnih kazni, če katera od lokalnih agencij ugotovi, da ni izpolnili obveznosti soglasja in zahtev glede »zasebnosti ob zasnovi«, ki so nastale v režimu zasebnosti uporabnika.

Marko Vidrih

DELITE Z OSTALIMI:
GLASUJ: