Desesperado por los datos de sus competidores, Facebook. ha estado pagando en secreto a las personas para que instalen una VPN de "Investigación de Facebook" que le permite a la compañía absorber toda la actividad del teléfono y la web de un usuario, similar a la aplicación Onavo Protect de Facebook que Apple prohibió en junio y que se eliminó en agosto. Facebook esquiva la App Store y recompensa a los adolescentes y adultos por descargar la aplicación Research y darle acceso de root en lo que puede ser una violación de la política de Apple para que la red social pueda descifrar y analizar su actividad telefónica, según confirma una investigación de TechCrunch. Facebook admitió a TechCrunch que estaba ejecutando el programa de investigación para recopilar datos sobre los hábitos de uso, y no tiene planes de detenerse.
Desde 2016, Facebook ha estado pagando a los usuarios de 13 a 35 años hasta $ 20 por mes más los honorarios de referencia para vender su privacidad mediante la instalación de la aplicación "Facebook Research" de iOS o Android. Facebook incluso les pidió a los usuarios que capturaran su página de historial de pedidos de Amazon. El programa se administra a través de los servicios de pruebas beta Applause, BetaBound y uTest para encubrir la participación de Facebook, y se menciona en la documentación como "Proyecto Atlas", un nombre apropiado para el esfuerzo de Facebook por mapear nuevas tendencias y rivales en todo el mundo.
Le pedimos a Will Strafach, experto en seguridad de Guardian Mobile Firewall, que investigara en la aplicación de investigación de Facebook, y nos dijo que "si Facebook utiliza completamente el nivel de acceso que reciben al pedirles a los usuarios que instalen el Certificado, tendrán la posibilidad de recopile continuamente los siguientes tipos de datos: mensajes privados en aplicaciones de redes sociales, chats desde aplicaciones de mensajería instantánea, incluyendo fotos / videos enviados a otros, correos electrónicos, búsquedas en la web, actividad de navegación web e incluso información de ubicación continua al acceder a las fuentes de cualquier aplicación de seguimiento de ubicación que pueda haber instalado ". No está claro exactamente a qué datos se refiere Facebook, pero obtiene un acceso casi ilimitado al dispositivo de un usuario una vez que instala la aplicación.
La estrategia muestra qué tan lejos está dispuesto a llegar Facebook y cuánto está dispuesto a pagar para proteger su dominio, incluso a riesgo de romper las reglas de la plataforma iOS de Apple de las que depende. Apple podría intentar impedir que Facebook continúe distribuyendo su aplicación de Investigación, o incluso revocar su permiso para ofrecer aplicaciones solo para empleados, y la situación podría relajar aún más las relaciones entre los gigantes tecnológicos. Tim Cook de Apple ha criticado repetidamente las prácticas de recopilación de datos de Facebook. Facebook desobedeciendo las políticas de iOS para absorber más información podría convertirse en un nuevo punto de conversación. TechCrunch ha hablado con Apple y está al tanto del problema, pero la compañía no proporcionó una declaración antes del tiempo de impresión.
"El escalón bastante técnico de 'instalar nuestro certificado raíz' es atroz", nos dice Strafach. "Esto proporciona a Facebook el acceso continuo a los datos más confidenciales sobre usted, y la mayoría de los usuarios no podrán dar su consentimiento de forma razonable a pesar de cualquier acuerdo que firmen, porque no hay una buena manera de expresar cuánta potencia se entrega a Facebook". cuando hagas esto ".
Aplicación de vigilancia de Facebook
Facebook entró por primera vez en el negocio de la detección de datos cuando adquirió Onavo por alrededor de $ 120 millones en 2014. La aplicación VPN ayudó a los usuarios a rastrear y minimizar el uso de su plan de datos móviles, pero también le dio a Facebook análisis profundos sobre qué otras aplicaciones estaban usando. Los documentos internos adquiridos por Charlie Warzel y Ryan Mac de BuzzFeed News revelan que Facebook pudo aprovechar Onavo para saber que WhatsApp estaba enviando más del doble de mensajes por día que Facebook Messenger. Onavo permitió a Facebook detectar el meteórico ascenso de WhatsApp y justificar el pago de $ 19 mil millones para comprar el inicio del chat en 2014. Desde entonces, WhatsApp ha triplicado su base de usuarios, lo que demuestra el poder de la previsión de Onavo.
A lo largo de los años desde entonces, Onavo le hizo un seguimiento a Facebook sobre qué aplicaciones copiar, características para construir y fracasos para evitar. Para 2018, Facebook estaba promocionando la aplicación Onavo en un marcador de protección de la aplicación principal de Facebook con la esperanza de que más usuarios pudieran espiar. Facebook también lanzó la aplicación Onavo Bolt que le permite bloquear aplicaciones detrás de un código de acceso o huella digital mientras lo vigila, pero Facebook cerró la aplicación el día en que se descubrió luego de las críticas de privacidad. La aplicación principal de Onavo permanece disponible en Google Play y se ha instalado más de 10 millones de veces.
La reacción se intensificó luego de que el experto en seguridad Strafach explicó en marzo cómo Onavo Protect informaba a Facebook cuando la pantalla de un usuario estaba encendida o apagada, y su uso de datos de Wi-Fi y celulares en bytes, incluso cuando la VPN estaba apagada. En junio, Apple actualizó sus políticas de desarrollador para prohibir la recopilación de datos sobre el uso de otras aplicaciones o datos que no son necesarios para que una aplicación funcione. Apple procedió a informar a Facebook en agosto que Onavo Protect violó esas políticas de recopilación de datos y que la red social necesitaba eliminarlo de la App Store, lo que hizo, informó Deepa Seetharaman del WSJ.
Pero eso no detuvo la recopilación de datos de Facebook.
Proyecto atlas
TechCrunch recibió recientemente una sugerencia de que, a pesar de que Onavo Protect fue desterrada por Apple, Facebook les estaba pagando a los usuarios que descargaran una aplicación VPN similar bajo el nombre de Facebook Research desde fuera de la App Store. Investigamos y descubrimos que Facebook estaba trabajando con tres servicios de prueba de aplicaciones beta para distribuir la aplicación de investigación de Facebook: BetaBound, uTest y Applause. Facebook comenzó a distribuir la aplicación Research VPN en 2016. Se le conoce como Proyecto Atlas desde al menos mediados de 2018, aproximadamente cuando se magnificó la reacción a Onavo Protect y Apple instituyó sus nuevas reglas que prohibían Onavo. Facebook no quiso dejar de recopilar datos sobre el uso del teléfono por parte de las personas, por lo que el programa de Investigación continuó sin tomar en cuenta que Apple prohibió Onavo Protect.
Los anuncios (mostrados a continuación) del programa administrado por uTest en Instagram y Snapchat buscaron a adolescentes de 13 a 17 años de edad para un "estudio de investigación de medios sociales pagado". La página de registro para el programa de investigación de Facebook administrada por Applause no menciona a Facebook , pero busca usuarios "Edad: 13-35 (se requiere el consentimiento de los padres para las edades 13-17)". Si los menores intentan inscribirse, se les pide que obtengan el permiso de sus padres con un formulario que revele la participación de Facebook y dice " No hay riesgos conocidos asociados con el proyecto, sin embargo, usted reconoce que la naturaleza inherente del proyecto implica el seguimiento de la información personal a través del uso de las aplicaciones por parte de su hijo. Serás recompensado por el aplauso por la participación de tu hijo ". Para los niños con poco dinero en efectivo, los pagos podrían obligarlos a vender su privacidad a Facebook.
El sitio de Applause explica qué datos podrían recopilarse con la aplicación de investigación de Facebook (énfasis mío):
"Al instalar el software, le está dando permiso a nuestro cliente para recopilar datos de su teléfono que les ayudará a entender cómo navega por Internet y cómo usa las funciones en las aplicaciones que ha instalado. . . Esto significa que eres Permitir que nuestro cliente recopile información, por ejemplo, qué aplicaciones están en su teléfono, cómo y cuándo las usa., datos sobre sus actividades y contenido dentro de esas aplicaciones, así como también cómo otras personas interactúan con usted o su contenido dentro de esas aplicaciones. También eres Permitiendo que nuestro cliente recopile información sobre su actividad de navegación en Internet (incluidos los sitios web que visita y los datos que se intercambian entre su dispositivo y esos sitios web) y su uso de otros servicios en línea. Hay algunos casos en que Nuestro cliente recopilará esta información incluso cuando la aplicación utilice cifrado., o desde dentro de las sesiones seguras del navegador ".
Mientras tanto, la página de registro de BetaBound con una URL que termina en "Atlas" explica que "Por $ 20 por mes (a través de tarjetas de regalo electrónicas), instalará una aplicación en su teléfono y la dejará en segundo plano". Ofrece $ 20 por amigo que recomiendes. Ese sitio tampoco menciona inicialmente Facebook, pero el manual de instrucciones para instalar Facebook Research revela la participación de la empresa.
Parece que Facebook ha evitado a propósito TestFlight, el sistema de prueba beta oficial de Apple, que requiere que Apple revise las aplicaciones y está limitado a 10,000 participantes. En su lugar, el manual de instrucciones revela que los usuarios descargan la aplicación desde r.facebook-program.com y se les dice que instalen un Certificado de Desarrollador Empresarial y una VPN y un Facebook "Confiado" con acceso raíz a su teléfono, además de gran parte de los datos que transmite. Apple requiere que los desarrolladores acepten utilizar solo este sistema de certificado para distribuir aplicaciones corporativas internas a sus propios empleados. El reclutamiento aleatorio de evaluadores y el pago de una tarifa mensual parece violar el espíritu de esa regla.
Una vez instalado, los usuarios solo tenían que mantener la VPN en funcionamiento y enviar datos a Facebook para recibir el pago. El programa administrado por Applause solicitó que los usuarios capturaran su página de pedidos de Amazon. Estos datos podrían ayudar a Facebook a relacionar los hábitos de navegación y el uso de otras aplicaciones con preferencias y comportamientos de compra. Esa información podría aprovecharse para identificar la orientación de anuncios y comprender qué tipos de usuarios compran qué.
TechCrunch le encargó a Strafach que analizara la aplicación de investigación de Facebook y descubriera dónde estaba enviando los datos. Confirmó que los datos se envían a "vpn-sjc1.v.facebook-program".
“Es difícil saber qué datos está guardando realmente Facebook (sin acceso a sus servidores). La única información que se puede conocer aquí es qué acceso a Facebook puede basarse en el código de la aplicación. Y pinta una imagen muy preocupante ", explica Strafach. "Podrían responder y afirmar que solo realmente retienen / guardan datos limitados muy específicos, y eso podría ser cierto, realmente se reduce a cuánto confía en la palabra de Facebook. La narrativa más caritativa de esta situación sería que Facebook no pensó demasiado en el nivel de acceso que se otorgaban a sí mismos. . . que es un nivel sorprendente de descuido en sí mismo si ese es el caso ".
"Desafío flagrante de las reglas de Apple"
En respuesta a la consulta de TechCrunch, un portavoz de Facebook confirmó que está ejecutando el programa para aprender cómo las personas usan sus teléfonos y otros servicios. El portavoz nos dijo: “Como muchas compañías, invitamos a las personas a participar en investigaciones que nos ayuden a identificar las cosas que podemos hacer mejor. Dado que esta investigación tiene como objetivo ayudar a Facebook a comprender cómo las personas usan sus dispositivos móviles, hemos brindado amplia información sobre el tipo de datos que recopilamos y cómo pueden participar. No compartimos esta información con otras personas y las personas pueden dejar de participar en cualquier momento ".
El portavoz de Facebook afirmó que la aplicación de investigación de Facebook estaba en línea con el programa de Certificados Empresariales de Apple, pero no explicó cómo, al contrario de las pruebas, lo contrario. Dijeron que Facebook lanzó por primera vez su programa de aplicación de Investigación en 2016. Intentaron comparar el programa con un grupo de enfoque y dijeron que Nielsen y comScore ejecutan programas similares, pero ninguno de los dos les pide a las personas que instalen una VPN o que proporcionen acceso de root. El portavoz confirmó que el programa de investigación de Facebook sí recluta a adolescentes, pero también a otros grupos de edad de todo el mundo. Afirmaron que Onavo y Facebook Research son programas separados, pero admitieron que el mismo equipo apoya ambos como una explicación de por qué su código era tan similar.
Sin embargo, la afirmación de Facebook de que no viola la política del Certificado de empresa de Apple se contradice directamente con los términos de esa política. Esos incluyen que los desarrolladores "Distribuyan perfiles de aprovisionamiento solo a sus empleados y solo en conjunto con sus aplicaciones de uso interno con el propósito de desarrollar y probar". La política también establece que "Usted no puede usar, distribuir o poner sus Aplicaciones de Uso Interno a disposición de sus Clientes" a menos que estén bajo la supervisión directa de los empleados o en las instalaciones de la compañía. Dado que los clientes de Facebook están usando la aplicación Enterprise Certificate-powered sin supervisión, parece que Facebook está infringiendo.
Facebook desobedeciendo a Apple tan directamente podría lastimar su relación. “El código en esta aplicación para iOS indica claramente que es simplemente una versión de la aplicación prohibida Onavo con una mala marca, que ahora utiliza un Certificado Empresarial de Facebook en violación directa de las reglas de Apple, lo que permite a Facebook distribuir esta aplicación sin la revisión de Apple para cuantos usuarios deseen ", nos dice Strafach. Los prefijos de ONV y las menciones de graph.onavo.com, "onavoApp: //" y "onavoProtect: //" esquemas de URL personalizados ensucian la aplicación. "Esta es una violación atroz en muchos frentes, y espero que Apple actúe con rapidez al revocar el certificado de firma para hacer que la aplicación sea inoperable".
Facebook está particularmente interesado en lo que hacen los adolescentes en sus teléfonos ya que el grupo demográfico ha abandonado cada vez más la red social en favor de la adquisición de Instagram, YouTube y Facebook en Facebook. La información sobre cuán popular entre los adolescentes es la aplicación de video y música china TikTok y el intercambio de memes llevó a Facebook a lanzar un clon llamado Lasso y comenzar a desarrollar una función de búsqueda de memes llamada LOL, informó TechCrunch por primera vez. Pero el deseo de Facebook de obtener datos sobre los adolescentes irrita a los críticos en un momento en que la compañía ha sido maltratada en la prensa. Los analistas de la llamada de ganancias de Facebook de mañana deben preguntar qué otras formas tiene la compañía para recopilar información competitiva.
El año pasado, cuando le preguntaron a Tim Cook qué haría en la posición de Mark Zuckerberg a raíz del escándalo de Cambridge Analytica, dijo: "No estaría en esta situación". . . La verdad es que podríamos ganar un montón de dinero si monetizamos a nuestro cliente, si nuestro cliente fuera nuestro producto. Hemos elegido no hacer eso ". Zuckerberg le dijo a Ezra Klein que sentía que el comentario de Cook era" extremadamente simplista ".
Ahora está claro que incluso después de las advertencias de Apple y la eliminación de Onavo Protect, Facebook sigue recopilando agresivamente datos sobre sus competidores a través de la plataforma iOS de Apple. "Nunca he visto un desafío tan abierto y flagrante a las reglas de Apple por parte de un desarrollador de la App Store", concluyó Strafach. Si Apple cierra el programa de investigación, Facebook tendrá que inventar nuevas formas de vigilar nuestro comportamiento en medio de un clima de escrutinio de privacidad, o dejarlo en la oscuridad.
Informes adicionales por Zack Whittaker.
Source link