Facebook y Google aterrizó en agua caliente con Apple esta semana después de que dos investigaciones realizadas por TechCrunch revelaron el uso incorrecto de certificados internos, lo que llevó a su revocación, lo que llevó a un día de inactividad a los dos gigantes tecnológicos.
¿Confundido sobre lo que pasó? Aquí tienes todo lo que necesitas saber.
¿Cómo empezó todo esto y qué pasó?
El lunes, revelamos que Facebook estaba haciendo un uso indebido de un certificado emitido por Apple que solo está destinado a que las empresas utilicen para distribuir aplicaciones internas solo para empleados sin tener que pasar por Apple. Tienda de aplicaciones. Pero el gigante de los medios sociales usó ese certificado para firmar una aplicación que Facebook distribuyó fuera de la compañía, violando las reglas de Apple.
La aplicación, conocida simplemente como "Investigación", permitió el acceso de Facebook a todos los datos que fluyen desde el dispositivo en el que se instaló. Facebook paga a los usuarios, incluidos los adolescentes, $ 20 por mes para instalar la aplicación. Pero no estaba claro exactamente qué tipo de datos se estaban limpiando, o por qué razón.
Resulta que la aplicación fue una aplicación reenvasada que fue efectivamente prohibida en la App Store de Apple el año pasado por recopilar demasiada información sobre los usuarios.
Apple estaba enojada porque Facebook estaba haciendo un mal uso de sus certificados de emisión especial para promocionar una aplicación que ya había prohibido, y la revocó, haciendo que la aplicación fuera inútil. Pero Facebook estaba usando el mismo certificado para firmar sus otras aplicaciones exclusivas para empleados, lo que los dejó fuera de línea hasta que Apple volvió a emitir el certificado.
Entonces, resultó Google estaba haciendo casi exactamente lo mismo con su aplicación Screenwise, y la prohibición de Apple volvió a caer.
¿Cuál es la controversia sobre estos certificados y qué pueden hacer?
Si desea desarrollar aplicaciones de Apple, debe cumplir con sus reglas.
Una regla clave es que Apple no permite que los desarrolladores de aplicaciones pasen por alto la App Store, donde cada aplicación se examina para garantizar que sea lo más segura posible. Sin embargo, sí otorga excepciones para los desarrolladores empresariales, como las empresas que desean crear aplicaciones que solo son utilizadas internamente por los empleados. En este caso, Facebook y Google se registraron como desarrolladores empresariales y aceptaron los términos de desarrollo de Apple.
Apple otorgó a cada uno un certificado que otorga permiso para distribuir las aplicaciones que desarrollan internamente, incluidas las versiones preliminares de las aplicaciones que crean, para fines de prueba. Pero estos certificados no se pueden usar para consumidores normales, ya que tienen que descargar aplicaciones a través de la App Store.
¿Por qué es importante el acceso al certificado "raíz"?
Debido a que las aplicaciones Research y Google de Screenwise se distribuyeron fuera de la App Store de Apple, los usuarios debían instalar la aplicación manualmente, lo que se conoce como "sideloading". Eso requiere que los usuarios realicen unos cuantos pasos complicados para descargar la aplicación y abrir e instalar Facebook o el certificado de Google.
Luego, ambas aplicaciones requerían que los usuarios abrieran otro certificado, conocido como perfil de configuración de VPN, lo que permite que todos los datos que salen del teléfono de ese usuario canalicen un túnel especial que lo dirige a Facebook o Google, según la aplicación que haya instalado. .
Aquí es donde difieren los casos de Facebook y Google.
La aplicación de Google recopiló datos y los envió a Google con fines de investigación, pero no pudo acceder a datos cifrados, como iMessages u otro contenido cifrado de extremo a extremo.
Facebook, sin embargo, fue mucho más lejos. Se pidió a sus usuarios que pasaran por un paso adicional para confiar en el certificado en el nivel "raíz" del teléfono. Confiar en este "certificado raíz" le permitió a Facebook ver todo el tráfico cifrado que fluye fuera del dispositivo, esencialmente lo que llamamos un ataque de "hombre en el medio". Eso permitió a Facebook filtrar sus mensajes, sus correos electrónicos y cualquier otro dato que salga de su teléfono. Solo se protegieron las aplicaciones que utilizan la fijación de certificados, que rechazan cualquier certificado que no sea el suyo.
La aplicación Research de Facebook requiere acceso a Root Certificate, que Facebook recopila casi cualquier dato transmitido por su teléfono. (Imagen: suministrada)
Es posible que la aplicación de Google no haya podido ver el tráfico encriptado, pero la compañía aún no cumplió con las reglas y su certificado fue revocado de todos modos.
¿A qué datos tuvo acceso Facebook en iOS?
Es difícil saberlo con seguridad, pero definitivamente tuvo acceso a más datos que Google.
Facebook dijo que su aplicación era para ayudarlo a "entender cómo las personas usan sus dispositivos móviles". En realidad, a nivel de tráfico de raíz, Facebook podría haber accedido a cualquier tipo de datos que dejaron su teléfono.
Will Strafach, un experto en seguridad con el que hablamos sobre nuestra historia, dijo: "Si Facebook utiliza completamente el nivel de acceso que reciben al pedirles a los usuarios que instalen el certificado, tendrán la capacidad de recopilar continuamente los siguientes tipos de datos: mensajes privados en aplicaciones de redes sociales, chats desde aplicaciones de mensajería instantánea, incluidas fotos / videos enviados a otros, correos electrónicos, búsquedas en la web, actividad de navegación web e incluso información de ubicación continua al acceder a las fuentes de cualquier aplicación de seguimiento de ubicación que pueda han instalado. "
Recuerde: este no es un acceso "root" a su teléfono, como jailbreak, sino un acceso root al tráfico de la red.
¿Cómo se compara esto con las formas técnicas en que funcionan otros programas de investigación de mercado?
Para ser justos, estas no son aplicaciones de investigación de mercado exclusivas de Facebook o Google. Varias otras compañías, como Nielsen y comScore, ejecutan programas similares, pero ninguna les pide a los usuarios que instalen una VPN o que proporcionen acceso de raíz a la red.
En cualquier caso, Facebook ya tiene una gran cantidad de sus datos, al igual que Google. Incluso si las compañías solo quisieran ver sus datos en conjunto con otras personas, todavía pueden analizar con quién habla, cuándo, por cuánto tiempo y, en algunos casos, sobre qué. Podría no haber sido un escándalo tan explosivo si Facebook no hubiera pasado el último año limpiando después de varias violaciones de seguridad y privacidad.
¿Pueden capturar los datos de las personas con las que interactúa el propietario del teléfono?
En ambos casos, sí. En el caso de Google, cualquier información no cifrada que involucre los datos de otra persona podría haber sido recopilada. En el caso de Facebook, va mucho más allá: la aplicación de Facebook podría haber recopilado cualquier información suya que interactúe con otra persona, como un correo electrónico o un mensaje.
¿A cuántas personas afectó esto?
Es difícil saberlo con seguridad. Ni Google ni Facebook han dicho cuántos usuarios tienen. Entre ellos, se cree que está en los miles. En cuanto a los empleados afectados por las interrupciones de la aplicación, Facebook tiene más de 35,000 empleados y Google tiene más de 94,000 empleados.
¿Por qué se rompieron las aplicaciones internas de Facebook y Google después de que Apple revocara los certificados?
Es posible que poseas tu dispositivo Apple, pero Apple aún puede controlar lo que sucede.
Después de que Facebook se descubrió, Apple dijo: "Cualquier desarrollador que use sus certificados empresariales para distribuir aplicaciones a los consumidores tendrá sus certificados revocados, que es lo que hicimos en este caso para proteger a nuestros usuarios y sus datos". Eso significaba que cualquier aplicación se basó en el certificado, incluso dentro de la empresa, no se cargaría. No se trata solo de las versiones previas al lanzamiento de Facebook, Instagram y WhatsApp en las que estaba trabajando el personal, sino que, al parecer, las aplicaciones de viajes y colaboración de la empresa no funcionaron. En el caso de Google, incluso sus aplicaciones de catering y menú de almuerzo se redujeron.
Las aplicaciones internas de Facebook estuvieron inactivas durante aproximadamente un día, mientras que las aplicaciones internas de Google estuvieron inactivas durante algunas horas. Sin embargo, ninguno de los servicios al consumidor de Facebook o Google se vio afectado.
¿Cómo está la gente viendo a Apple en todo esto?
Nadie parece estar emocionado con Facebook o Google en este momento, pero tampoco muchos están contentos con Apple. A pesar de que Apple vende hardware y no usa sus datos para hacer un perfil de usted o para servirle anuncios, como lo hacen Facebook y Google, algunos se sienten incómodos con la cantidad de poder que Apple tiene sobre los clientes y empresas que usan sus dispositivos.
Al revocar los certificados empresariales de Facebook y Google y causar tiempo de inactividad, tiene un efecto indirecto interno.
¿Es esto legal en los Estados Unidos? ¿Qué pasa en Europa con GDPR?
Bueno, no es ilegal, al menos en los EE. UU. Facebook dice que obtuvo el consentimiento de sus usuarios. La compañía incluso dijo que sus usuarios adolescentes deben obtener el consentimiento de los padres, a pesar de que era fácil de omitir y no se realizaron verificaciones de verificación. Ni siquiera fue explícitamente claro que los niños que "consintieron" realmente entendieron cuánta privacidad estaban realmente entregando.
Eso podría llevar a importantes dolores de cabeza regulatorios en la línea. "Si resulta que los adolescentes europeos han estado participando en el esfuerzo de investigación, Facebook podría enfrentar otro aluvión de quejas bajo el Reglamento General de Protección de Datos (GDPR) del bloque, y la posibilidad de multas considerables si alguna agencia local determina que no cumplió con las expectativas. el consentimiento y los requisitos de "privacidad por diseño" incorporados en el régimen de privacidad del bloque ", escribió Natasha Lomas de TechCrunch.
¿Quién más ha estado haciendo mal uso de certificados?
No pienses que Facebook y Google están solos en esto. Resulta que muchas compañías también podrían estar incumpliendo las reglas.
De acuerdo con muchas compañías de búsqueda en las redes sociales, Sonos usa certificados empresariales para su programa beta, al igual que la aplicación de finanzas Binance, así como DoorDash. Por su flota de contratistas.. No se sabe si Apple también revocará sus certificados.
¿Qué sigue?
Alguien lo adivina, pero no espere que esta situación desaparezca pronto.
Facebook puede tener repercusiones en Europa, así como en casa. Dos senadores estadounidenses, Mark Warner y Richard Blumenthal, ya han pedido que se actúe, acusando a Facebook de "escuchas telefónicas". La Comisión Federal de Comercio también puede investigar, si Blumenthal se sale con la suya.