Facebook用无法上架的VPN应用收集用户隐私

为了尽可能获取竞争对手的数据，Facebook进行着一项秘密计划，在用户的手机上有偿安装名为「Facebook  Research」（Facebook研究）的VPN应用，从而获得使用者手机和网络活动的全部信息，这和Facebook去年6月从苹果App Store下架的Onavo Protect异曲同工。TechCrunch调查证实，Facebook这款新VPN应用绕开了App  Store，用违反苹果应用政策的手段获取网络的完全访问权，从而解密分析用户的手机活动。参与者可以从中获得一些报酬，从成年人到青少年都有涉及。

Facebook向TechCrunch证实了该项目的存在，称项目是为了收集使用习惯相关数据，并表示没有停止该项目的计划。

2016年开始，Facebook向部分13至35岁年龄段用户发放基于Android和iOS的「Facebook  研究」应用，提供每月不超过20美元的费用（推广佣金除外）以换取他们的隐私，甚至包括亚马逊历史订单截图。以掩盖Facebook在其中的角色，这款应用透过几家移动应用测试平台进行分发。在一些文档中，项目以「Project Atlas」（测绘计划）代称，从这个名字可以看出Facebook跟踪全世界新趋势与新对手的企图。

Facebook Research 安装额外证书的截图

Guardian Mobile Firewall的安全专家威尔·斯特拉法奇（Will Strafach，也是曾经的iOS越狱专家Chronic）对「Facebook研究」进行了深度测试，他的结论是「『Facebook研究』要求用户安装根证书。以这个证书的访问级别，他们完全有能力持续收集以下类型的数据：社交媒体中的私信内容、即时消息应用中的聊天内容（包括发出的照片/视频）、电子邮件、搜索记录、网页浏览记录，甚至是持续的位置信息（通过访问能够获取位置信息的应用）。」Facebook究竟收集了哪些数据，目前尚不清楚。唯一清楚的是，应用几乎可以无限制地访问用户的设备。

这个计划显示了Facebook为保住领先地位，究竟愿意花多少钱，冒多少险。「Facebook研究」很可能违反了iOS平台规则，为阻止Facebook继续分发该应用，苹果或许会采取措施，甚至可能撤销Facebook的企业内部分发权限，这将会让两家科技巨头的关系更加冷淡。库克此前就反复批评过Facebook激进收集数据的做法，「Facebook研究」会让两家公司出现什么样的变化也值得关注。TechCrunch已经联系到苹果，对方已经得知相关情况。截止发稿期间，苹果还没有提供官方声明。

在招募网站上，Facebook Research都是以Project Atlas代称，看上去和Facebook一点关系也没有

「用平和的技术语言说出『请安装根证书』这一步有点惊悚，」斯特拉法奇告诉我们。「确认之后Facebook就能持续访问你的敏感数据。我想大多数用户应该都会对此说不，无论他们用什么花言巧语，因为你无法预估交给Facebook的权力有多大。」

Facebook的监控网

2014年，Facebook以1.2亿美元收购Onavo，也是他们首次进入数据嗅探行业。Onavo Protect是一个利用系统VPN接口帮助用户节省移动流量，跟踪移动流量的应用，但同时也承担着为Facebook深度分析用户使用习惯的任务。 BuzzFeed新闻记者查理·沃泽尔（Charlie Warzel）和瑞恩·麦克（Ryan Mac）获得的内部文件显示，Facebook利用Onavo了解到彼时还为独立应用的WhatsApp每天发送的信息数量是Facebook Messenger的两倍多。凭借Onavo的数据挖掘，Facebook意识到了WhatsApp的崛起，也坚定了社交巨人190亿美元的收购决策。此后，WhatsApp的用户数量翻了三倍，这从另一方面显示了Onavo工具的潜力。

这些年来，Onavo帮助Facebook寻找突破口，让后者知道什么应用可以抄，什么功能用户想要，什么坑应该避过。2018年3月，Facebook把Onavo Protect推广地址放到主应用的「安全保护」标签栏里，用以吸引更多人下载上钩。一个月后，Facebook推出了另一款名为Onavo Bolt的应用，明面上是一款应用锁工具，用户可以用它给自己的手机应用加上一层数字或指纹密码，实际上在人们发现了它的隐私侵犯问题当天，Facebook就移除了这款应用。不过Onavo Protect现在依然挂在Google Play上，拥有超过1000万次的安装量。

当时，斯特拉法奇 通过分析指出Onavo Protect会向Facebook报告用户手机亮屏和息屏状态，以及数据用量信息（包括关闭Onavo期间的），这掀起了轩然大波。当年6月，苹果更新了开发者政策，禁止收集与应用无直接关联的其他应用数据。8月，《华尔街日报》记者迪帕•希斯罗曼 （Deepa Seetharaman）报道，苹果管理人员通知Facebook，Onavo违反了数据收集新规，应用必须下架。Facebook照做了。

但这并不能阻止Facebook收集数据的欲望。

测绘计划

TechCrunch收到的爆料称，尽管Onavo Protect从苹果应用商店下架，但Facebook剑走偏锋，转而花钱请用户从App Store之外下载类似的应用，也就是前面提到的「Facebook研究」。2016年，Facebook以「Project  Kodiak」之名发布了「Research VPN」应用。从2018年中开始，随着Onavo隐私丑闻的放大，与苹果推出数据收集新规，这个项目改称「Project Atlas」（测绘计划）。Facebook没有停止收集用户信息的意思，苹果封禁了Onavo，无所谓，换个名字继续。

我们的调查显示，Facebook使用了三个移动应用测试平台来分发「Facebook研究」，分别是BetaBound，uTest和Applause。

uTest在Instagram和Snapchat投放的广告（如下图所示）专门寻找13-17岁的青少年参与「有偿社交媒体研究」。

Facebook 透过中间人 uTest 在 Snapchat 和 Instagram 投放广告，用钱引诱青少年参与项目

Applause搭建的注册页面（已下线）对Facebook只字不提，招募「年龄：13-35岁（13-17岁需征得父母同意）」的用户。未成年人注册之后，会要求提交父母许可。这时监护人填写的表格才体现出Facebook的参与，表格里写到：「项目本身并无已知风险，但是您已知晓本项目的固有性质涉及对您孩子使用的应用程序的跟踪，期间会涉及个人信息的收集。  对此，您将得到Applause的补偿金。」只要向Facebook出卖自己的隐私便可换来零花钱，对缺钱的小孩来无疑是极大的诱惑。

Applause搭建的项目页面解释了「Facebook研究」会收集哪些数据（加黑是我标出来的）：

「通过安装软件，您将允许我方客户端收集手机数据，以帮助我方了解您如何浏览互联网，以及您如何使用安装的应用的功能……这意味着您将允许我方客户端收集信息，例如手机上的应用、使用方式和时间、有关您的活动和这些应用内容的数据，以及其他人如何在应用内与您或您的内容互动。您还将允许我方客户端收集有关您的互联网浏览活动的信息（包括您访问的网站以及您的设备与这些网站之间交换的数据）以及您对其他在线服务的使用。在某些情况下，即使应用程序使用加密措施，或者在安全的浏览器会话中，我方客户端也会收集此信息。」

而BetaBound的项目注册页面  ，链接以「Atlas」结尾，里面说「您需要在手机上安装一个应用程序并让它在后台运行。可以获得每月20美元（电子礼品卡）的酬劳。」如果你推荐朋友参与，你可以获得额外的20美元佣金。这个页面一开始也没有任何Facebook的踪迹，只有应用的使用说明显示了Facebook的参与。

至于苹果官方应用测试平台TestFlight，因为TestFlight应用也需要经过苹果审核，最多只能召集10000名测试人员，Facebook像是故意避开似的。应用说明书显示，用户需要从r.facebook-program.com下载应用，然后安装企业开发人员证书、VPN，并「信任」Facebook对手机传输的数据具有根访问权限。苹果要求企业开发人员证书只能在企业内部测试使用，公开招募测试人员并按月支付费用明显违反了这个规定。

应用安装之后，测试员必须保持VPN始终运行，允许数据传送到Facebook，才能获得佣金。Applause平台甚至要求测试员把自己的亚马逊订单页面截图上传。这些数据可能会有助于Facebook分析用户网页浏览和应用使用习惯与购物偏好之间的联系。这些信息还可以用来明确广告定位，了解哪些类型的用户购买了什么。

TechCrunch委托斯特拉法奇分析了「Facebook研究」应用程序，查找数据的发送地址。他确认数据发送到了Onavo的网域「vpn-sjc1.v.facebook-program.com」。「Facebook研究」应用本身可以脱离App Store自行更新，应用内有一个属于Facebook的电子邮件地址PeopleJourney@fb.com。斯特拉法奇还发现Facebook在2018年6月27日更新了企业证书，就在那个月苹果公布了针对Onavo之类应用的数据收集新政。与此同时，MarkMonitor的公开信息也显示，Facebook拥有facebook-program.com域名。

「不能访问服务器的话，很难知道Facebook实际保存了哪些数据。我只能透过应用代码了解Facebook能获取哪些权限。看上去挺触目惊心，」斯特拉法奇解释道。「当然他们可以回应说『虽然我们有各种各样的权限，但我们只记录了其中非常小的一部分』，这是有可能的，完全取决于你对Facebook的信任程度。按最无害的情况描述，就是Facebook自己都没意识到能拿到那么多访问权限……如果是这样的话，他们的粗心程度也够惊人了。」

Facebook研究的许多代码和Onavo是共通的

「对苹果规则的公然蔑视」

Facebook发言人回应了TechCrunch的询问，证实此计划正在运作，旨在了解人们如何使用手机和其他服务。发言人还告诉我们「我们和其他公司一样，邀请人们参与研究，帮助我们找到可以进步的地方。  由于这项研究目的是让Facebook了解人们如何使用移动设备，因此我们提供了与数据收集类型以及如何参与相关的额外信息。我们不会与第三方分享收集的数据，参与者也可以随时退出。」

Facebook发言人称「Facebook研究」符合苹果企业开发者计划，但没有对质疑作出更多解释。他们表示Facebook在2016年首次推出该项目，他们认为项目的运营方式类似焦点小组，其他调查机构，如尼尔森和comScore，也有类似的项目，不过这些调查机构都没有像Facebook一样要求参与者安装VPN或提供根访问权限。发言人还确认，项目确实在全球范围内招募了青少年以及其他年龄组。至于Onavo和「Facebook研究」代码相似度极高的问题，发言人解释说两者是各自独立的项目，但背后的团队是同一个。

查询苹果的企业证书政策之后，我们发现「Facebook研究」的情况并不像发言人所说那样清白。他们直接违反了多项政策，其中包括开发人员「仅向您的员工分配配置文件，并且仅与您的内部应用一起用于开发和测试」。该政策还规定「不得使用、分发或以其他方式向您的客户提供您的内部应用，除非在员工的直接监督下或公司场所内运行。」Facebook的测试员并没有在受直接监督的情况下使用企业证书应用。

Facebook如此直接地违背苹果政策可能会伤害他们的关系。「这个iOS应用的代码已经很明确了，它就是被禁的Onavo的马甲，唯一的区别就是Facebook这次直接违反苹果的规定，用自己的企业证书绕过苹果应用审核，把应用分发给尽可能多的用户，」斯特拉法奇告诉我们，他还在应用里发现了onV前缀和graph.onavo.com、onavoApp://和onavoProtect://之类URL schemes的痕迹。「他们在很多方面都严重违规了，我希望苹果能够迅速采取行动，撤销证书签名，让他们的应用无法运行。」

从批评Facebook的报道里我们也看到，社交巨人对青少年数据的渴望让评论者也感到震惊，因为这个年龄段的人群大多放弃社交网络，转投Snapchat、YouTube和Facebook旗下的Instagram。TechCrunch曾报道过，中国视频音乐应用TikTok和meme在年轻人中掀起的热潮让Facebook推出了一个名为Lasso的山寨应用，和一个名为LOL的meme浏览应用迎击。明天参加Facebook财报电话会议的分析师应该询问该公司还有哪些收集竞争对手情报的方式。

去年剑桥分析丑闻之后，苹果CEO库克被问到，如果他也遇到扎克伯格那样的问题该怎么办，他 回答说 ：「我不会碰到这种问题……事实是，如果我们把客户当成产品，我们能赚更多。但那不是人们选择我们的原因。」扎克伯格在随后的专访中告诉Vox记者埃兹拉·克莱恩（Ezra Klein），他觉得库克的批评「非常狡猾」。

现在很明显，即使遭遇苹果下架，Facebook仍然通过iOS平台积极收集竞争对手的数据。「我从未见过对苹果应用政策如此公然蔑视的开发者，」斯特拉法奇总结道。如果苹果关闭了Facebook研究计划，Facebook要么得发明新的方式来监视用户行为，要么就要被抛弃在黑暗中。

更新：Facebook已回复TechCrunch，他们将关闭iOS版「Facebook研究」应用。

作者Josh Constine，Zack Whittaker对此文亦有贡献。

声明：本文来自TechCrunch中文版，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。