為了研究青少年的手機習慣,Facebook 進行著一項「隱私換零花錢」的專案
為了儘可能獲取競爭對手的資料,Facebook 進行著一項祕密計劃,在使用者的手機上有償安裝名為「Facebook Research」(Facebook 研究)的 VPN 應用,從而獲得使用者手機和網路活動的全部資訊,這和 Facebook 去年 6 月從蘋果 App Store 下架的 Onavo Protect 異曲同工。TechCrunch 調查證實,Facebook 這款新 VPN 應用繞開了 App Store,用違反蘋果應用政策的手段獲取網路的完全訪問權,從而解密分析使用者的手機活動。參與者可以從中獲得一些報酬,從成年人到青少年都有涉及。
Facebook 向 TechCrunch 證實了該專案的存在,稱專案是為了收集使用習慣相關資料,並表示沒有停止該專案的計劃。
2016 年開始,Facebook 向部分 13 至 35 歲年齡段使用者發放基於 Android 和 iOS 的「Facebook 研究」應用,提供每月不超過 20 美元的費用(推廣佣金除外)以換取他們的隱私,甚至包括亞馬遜歷史訂單截圖。以掩蓋 Facebook 在其中的角色,這款應用透過幾家移動應用測試平臺進行分發。在一些文件中,專案以「Project Atlas」(測繪計劃)代稱,從這個名字可以看出 Facebook 跟蹤全世界新趨勢與新對手的企圖。
Facebook Research 安裝額外證書的截圖
Guardian Mobile Firewall 的安全專家威爾·斯特拉法奇(Will Strafach,也是曾經的 iOS 越獄專家 Chronic)對「Facebook 研究」進行了深度測試,他的結論是「『Facebook 研究』要求使用者安裝根證書。以這個證書的訪問級別,他們完全有能力持續收集以下型別的資料:社交媒體中的私信內容、即時訊息應用中的聊天內容(包括髮出的照片/視訊)、電子郵件、搜尋記錄、網頁瀏覽記錄,甚至是持續的位置資訊(通過訪問能夠獲取位置資訊的應用)。」Facebook 究竟收集了哪些資料,目前尚不清楚。唯一清楚的是,應用幾乎可以無限制地訪問使用者的裝置。
這個計劃顯示了 Facebook 為保住領先地位,究竟願意花多少錢,冒多少險。「Facebook 研究」很可能違反了 iOS 平臺規則,為阻止 Facebook 繼續分發該應用,蘋果或許會採取措施,甚至可能撤銷 Facebook 的企業內部分發許可權,這將會讓兩家科技巨頭的關係更加冷淡。庫克此前就反覆批評過 Facebook 激進收集資料的做法,「Facebook 研究」會讓兩家公司出現什麼樣的變化也值得關注。TechCrunch 已經聯絡到蘋果,對方已經得知相關情況。截止發稿期間,蘋果還沒有提供官方宣告。
在招募網站上,Facebook Research 都是以 Project Atlas 代稱,看上去和 Facebook 一點關係也沒有
「用平和的技術語言說出『請安裝根證書』這一步有點驚悚,」斯特拉法奇告訴我們。「確認之後 Facebook 就能持續訪問你的敏感資料。我想大多數使用者應該都會對此說不,無論他們用什麼花言巧語,因為你無法預估交給 Facebook 的權力有多大。」
Facebook 的監控網
2014 年,Facebook 以 1.2 億美元收購 Onavo ,也是他們首次進入資料嗅探行業。Onavo Protect 是一個利用系統 VPN 介面幫助使用者節省移動流量,跟蹤移動流量的應用,但同時也承擔著為 Facebook 深度分析使用者使用習慣的任務。 BuzzFeed 新聞記者查理·沃澤爾和瑞恩·麥克獲得的 內部檔案顯示 ,Facebook 利用 Onavo 瞭解到彼時還為獨立應用的 WhatsApp 每天傳送的資訊數量是 Facebook Messenger 的兩倍多。憑藉 Onavo 的資料探勘,Facebook 意識到了 WhatsApp 的崛起,也堅定了社交巨人 190 億美元的收購決策。此後,WhatsApp 的使用者數量翻了三倍,這從另一方面顯示了 Onavo 工具的潛力。
這些年來,Onavo 幫助 Facebook 尋找突破口,讓後者知道什麼應用可以抄,什麼功能使用者想要,什麼坑應該避過。2018 年 3 月,Facebook 把 Onavo Protect 推廣地址放到主應用的「安全保護」標籤欄裡,用以吸引更多人
的應用,明面上是一款應用鎖工具,使用者可以用它給自己的手機應用加上一層數字或指紋密碼,實際上在人們發現了它的隱私侵犯問題當天,Facebook 就移除了這款應用。不過 Onavo Protect 現在依然掛在 Google Play 上,擁有超過 1000 萬次的安裝量。
當時,斯特拉法奇 通過分析指出 Onavo Protect 會向 Facebook 報告使用者手機亮屏和息屏狀態,以及資料用量資訊(包括關閉 Onavo 期間的),這掀起了軒然大波。當年 6 月,蘋果更新了開發者政策,禁止收集與應用無直接關聯的其他應用資料。8 月,《華爾街日報》記者迪帕•希斯羅曼 報道 ,蘋果管理人員通知 Facebook,Onavo 違反了資料收集新規,應用必須下架。Facebook 照做了。
但這並不能阻止 Facebook 收集資料的慾望。
測繪計劃
TechCrunch 收到的爆料稱,儘管 Onavo Protect 從蘋果應用商店下架,但 Facebook 劍走偏鋒,轉而花錢請使用者從 App Store 之外下載類似的應用,也就是前面提到的「Facebook 研究」。2016 年,Facebook 以「Project Kodiak」之名釋出了「Research VPN」應用。從 2018 年中開始,隨著 Onavo 隱私醜聞的放大,與蘋果推出資料收集新規,這個專案改稱「Project Atlas」(測繪計劃)。Facebook 沒有停止收集使用者資訊的意思,蘋果封禁了 Onavo,無所謂,換個名字繼續。
我們的調查顯示,Facebook 使用了三個移動應用測試平臺來分發「Facebook 研究」,分別是 BetaBound,uTest 和 Applause。
uTest 在 Instagram 和 Snapchat 投放的廣告(如下圖所示)專門尋找 13-17 歲的青少年參與「有償社交媒體研究」。
Facebook 透過中間人 uTest 在 Snapchat 和 Instagram 投放廣告,用錢引誘青少年參與專案
Applause 搭建的 註冊頁面 (已下線)對 Facebook 隻字不提,招募「年齡:13-35 歲(13-17 歲需徵得父母同意)」的使用者。未成年人註冊之後,會要求提交父母許可。這時監護人填寫的表格才體現出 Facebook 的參與,表格裡寫到:「專案本身並無已知風險,但是您已知曉本專案的固有性質涉及對您孩子使用的應用程式的跟蹤,期間會涉及個人資訊的收集。 對此,您將得到 Applause 的補償金。」只要向 Facebook 出賣自己的隱私便可換來零花錢,對缺錢的小孩來無疑是極大的誘惑。
Applause 搭建的專案頁面解釋了「Facebook 研究」會收集哪些資料(加黑是我標出來的):
「通過安裝軟體,您將允許我方客戶端收集手機資料,以幫助我方瞭解您如何瀏覽網際網路,以及您如何使用安裝的應用的功能……這意味著您將 允許我方客戶端收集資訊,例如手機上的應用、使用方式和時間、 有關您的活動和這些應用內容的資料,以及其他人如何在應用內與您或您的內容互動。 您還將 允許我方客戶端收集有關您的網際網路瀏覽活動的資訊 (包括您訪問的網站以及您的裝置與這些網站之間交換的資料)以及您對其他線上服務的使用。在某些情況下, 即使應用程式使用加密措施 ,或者在安全的瀏覽器會話中, 我方客戶端也會收集此資訊 。“
而 BetaBound 的專案註冊頁面 ,連結以“Atlas”結尾,裡面說「您需要在手機上安裝一個應用程式並讓它在後臺執行。可以獲得每月 20 美元(電子禮品卡)的酬勞。」如果你推薦朋友參與,你可以獲得額外的 20 美元佣金。這個頁面一開始也沒有任何 Facebook 的蹤跡,只有應用的使用說明顯示了 Facebook 的參與。
至於蘋果官方應用測試平臺 TestFlight,因為 TestFlight 應用也需要經過蘋果稽核,最多隻能召集 10000 名測試人員,Facebook 像是故意避開似的。應用說明書顯示,使用者需要從 r.facebook-program.com 下載應用,然後安裝企業開發人員證書、VPN,並「信任」Facebook 對手機傳輸的資料具有根訪問許可權。蘋果要求企業開發人員證書只能在企業內部測試使用,公開招募測試人員並按月支付費用明顯違反了這個規定。
應用安裝之後,測試員必須保持 VPN 始終執行,允許資料傳送到 Facebook,才能獲得佣金。Applause 平臺甚至要求測試員把自己的亞馬遜訂單頁面截圖上傳。這些資料可能會有助於 Facebook 分析使用者網頁瀏覽和應用使用習慣與購物偏好之間的聯絡。這些資訊還可以用來明確廣告定位,瞭解哪些型別的使用者購買了什麼。
TechCrunch 委託斯特拉法奇分析了「Facebook 研究」應用程式,查詢資料的傳送地址。他確認資料傳送到了 Onavo 的網域「vpn-sjc1.v.facebook-program.com」。「Facebook 研究」應用本身可以脫離 App Store 自行更新,應用內有一個屬於 Facebook 的電子郵件地址[email protected]。斯特拉法奇還發現 Facebook 在 2018 年 6 月 27 日更新了企業證書,就在那個月蘋果公佈了針對 Onavo 之類應用的資料收集新政。與此同時,MarkMonitor 的公開資訊也顯示,Facebook 擁有 facebook-program.com 域名。
「不能訪問伺服器的話,很難知道 Facebook 實際儲存了哪些資料。我只能透過應用程式碼瞭解 Facebook 能獲取哪些許可權。看上去挺觸目驚心,」斯特拉法奇解釋道。「當然他們可以迴應說『雖然我們有各種各樣的許可權,但我們只記錄了其中非常小的一部分』,這是有可能的,完全取決於你對 Facebook 的信任程度。按最無害的情況描述,就是 Facebook 自己都沒意識到能拿到那麼多訪問許可權……如果是這樣的話,他們的粗心程度也夠驚人了。」
Facebook 研究的許多程式碼和 Onavo 是共通的
“對蘋果規則的公然蔑視”
Facebook 發言人迴應了 TechCrunch 的詢問,證實此計劃正在運作,旨在瞭解人們如何使用手機和其他服務。發言人還告訴我們「我們和其他公司一樣,邀請人們參與研究,幫助我們找到可以進步的地方。 由於這項研究目的是讓 Facebook 瞭解人們如何使用移動裝置,因此我們提供了與資料收集型別以及如何參與相關的額外資訊。我們不會與第三方分享收集的資料,參與者也可以隨時退出。」
Facebook 發言人稱「Facebook 研究」符合蘋果企業開發者計劃,但沒有對質疑作出更多解釋。他們表示 Facebook 在 2016 年首次推出該專案,他們認為專案的運營方式類似焦點小組,其他調查機構,如尼爾森和 comScore,也有類似的專案,不過這些調查機構都沒有像 Facebook 一樣要求參與者安裝 VPN 或提供根訪問許可權。發言人還確認,專案確實在全球範圍內招募了青少年以及其他年齡組。至於 Onavo 和「Facebook 研究」程式碼相似度極高的問題,發言人解釋說兩者是各自獨立的專案,但背後的團隊是同一個。
查詢蘋果的 企業證書政策 之後,我們發現「Facebook 研究」的情況並不像發言人所說那樣清白。他們直接違反了多項政策,其中包括開發人員「僅向您的員工分配配置檔案,並且僅與您的內部應用一起用於開發和測試」。該政策還規定「不得使用、分發或以其他方式向您的客戶提供您的內部應用,除非在員工的直接監督下或公司場所內執行。」Facebook 的測試員並沒有在受直接監督的情況下使用企業證書應用。
Facebook 如此直接地違背蘋果政策可能會傷害他們的關係。「這個 iOS 應用的程式碼已經很明確了,它就是被禁的 Onavo 的馬甲,唯一的區別就是 Facebook 這次直接違反蘋果的規定,用自己的企業證書繞過蘋果應用稽核,把應用分發給儘可能多的使用者,」斯特拉法奇告訴我們,他還在應用裡發現了 onV 字首和 graph.onavo.com、onavoApp:// 和 onavoProtect:// 之類 URL schemes 的痕跡。「他們在很多方面都嚴重違規了,我希望蘋果能夠迅速採取行動,撤銷證書籤名,讓他們的應用無法執行。」
從批評 Facebook 的報道里我們也看到,社交巨人對青少年資料的渴望讓評論者也感到震驚,因為這個年齡段的人群大多放棄社交網路,轉投 Snapchat、YouTube 和 Facebook 旗下的 Instagram。TechCrunch 曾報道過,中國視訊音樂應用 TikTok 和 meme 在年輕人中掀起的熱潮讓 Facebook 推出了一個名為 Lasso 的山寨應用,和一個名為 LOL 的 meme 瀏覽應用迎擊。明天參加 Facebook 財報電話會議的分析師應該詢問該公司還有哪些收集競爭對手情報的方式。
去年劍橋分析醜聞之後,蘋果 CEO 庫克被問到,如果他也遇到扎克伯格那樣的問題該怎麼辦,他 回答說 :「我不會碰到這種問題……事實是,如果我們把客戶當成產品,我們能賺更多。但那不是人們選擇我們的原因。」扎克伯格在隨後的專訪中告訴 Vox 記者 埃茲拉·克萊恩(Ezra Klein) ,他覺得庫克的批評「非常狡猾」。
現在很明顯,即使遭遇蘋果下架,Facebook 仍然通過 iOS 平臺積極收集競爭對手的資料。「我從未見過對蘋果應用政策如此公然蔑視的開發者,」Strafach 總結道。如果蘋果關閉了 Facebook 研究計劃,Facebook 要麼得發明新的方式來監視使用者行為,要麼就要被拋棄在黑暗中。
[更新:Facebook 已回覆 TechCrunch,他們將關閉 iOS 版「Facebook 研究」應用。]
Zack Whittaker 對此文亦有貢獻。
Facebook pays teens to install VPN that spies on them, but will stop on iPhone
IMAGE BY Bryce Durbin / TechCrunch