近日,《华尔街日报》刊发重磅调查,称至少11款下载量达数千万次的常用App会“偷偷”与Facebook共享用户数据,其中不乏心率、体重、经期等极其敏感的个人信息。这是因为它们使用了Facebook提供的分析工具插件,该插件允许App开发者查看用户行为的统计数据,然后在Facebook上向这些用户精准推送广告。

据最新消息,Facebook已经主动联系了被点名的App开发者,令其停止向Facebook传输用户的个人敏感信息。截至目前,已有4款App被证实做了如上更改。

心率、怀孕状态等敏感信息被发送给脸书

据《华尔街日报》报道,他们一共调查了超过70款App,均为苹果应用商店里最受欢迎且涉及收集个人敏感信息的App,下载量都在千万级以上。其中,健康和健身类App在隐私保护方面的表现尤其恶劣——15个中有6个都在向外发送个人敏感信息。

通过监测这些App向第三方传送的数据,他们发现,至少有11个App向Facebook发送了可能非常敏感的信息——比如用户的使用数据,以及向App提交的个人数据。就算用户没有使用Facebook账户登录,也“难逃一劫”。

然而,这些App在发送数据时,几乎都没有向用户提供任何明显、具体的说明,不少App甚至没有告知用户如何阻止信息被发送给Facebook。

比如即时心率App“HR Monitor”会在记录用户心率后,立即发送给Facebook;经期记录App“Flo Period & Ovulation Tracker”,会把用户正处于经期或有怀孕意向的信息告知Facebook;房地产App“Realtor.com”,则会发送用户查看过的房源信息,包括位置和价格,并指出哪些被标记为收藏。

经期记录App“Flo Period & Ovulation Tracker”的开发公司Flo Health在隐私政策里写道,它不会向第三方发送“您输入的标记周期、怀孕状态、症状、笔记等信息或您没有选择分享的信息”。首次回应《华尔街日报》时,Flo Health依然坚持它不会发送“核心用户数据”,共享给Facebook的数据已经被“去个性化”,以保证其私密性和安全性。

然而,上述说法很快被“打脸”。根据《华尔街日报》的测试结果,该App发送的个人敏感信息携带了唯一的广告标识符,可以匹配设备或用户资料。Flo Health随后改口称,公司将在进行隐私审计时“大幅限制”对外部分析系统的使用。

App使用脸书提供的SDK查看用户行为

这11款App看上去跟Facebook毫无关系,为什么要与Facebook共享用户数据呢?这就不得不提SDK了。

SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合,常常被用于帮助App开发者集成某些特性或功能以缩短周期。

Facebook的SDK含有一个名为“App Events”的分析服务,允许开发者查看用户趋势。App可以用SDK记录用户采取的一系列标准化操作,例如用户完成购买的时间,还可以自行定制“自定义应用程序事件”进行抓取。后者便是《华尔街日报》监测到的App向Facebook发送敏感信息的方式。

据了解,Facebook会结合SDK中的用户数据和收集的其他数据,对广告和内容进行个性化展示,并“改善Facebook上的其他体验,包括新闻提要和搜索内容排名功能”。Facebook发言人表示,通过SDK实现App之间的数据共享是“行业标准做法”。

《华尔街日报》提到,一些隐私律师认为,如果在App和Facebook的服务条款中,充分披露了非健康卫生机构收集健康数据的事实,这种做法在美国的大多数州都是合法的。

然而,这11款App中大多数关于第三方共享的条款都十分笼统和模糊。

以即时心率App “HR Monitor”为例。它的隐私政策称,该公司收集包括心率在内的健康信息,并可能向第三方服务提供商和广告提供商提供一些个人数据。但它完全没有提到会向第三方提供从App中提取的健康信息,也没有提到Facebook。

用户在App里输入个人敏感信息后的几秒钟内,数据便流入Facebook,并迅速转化为能产生巨大收益的精准广告——对于App开发者和Facebook来说,这样的合作方式可谓“双赢”,权益受到损害的只有毫不知情的用户。

四款App已停止向脸书共享敏感信息

报道刊发后,Facebook方面回应称,这些共享信息已经违反了其关于要求App开发者不要向其发送“健康信息、财务信息或其他类别的敏感信息”的业务条款。

随后,Facebook通知了被点名的App,要求其停止发送用户可能认为敏感的信息。截至目前,有至少4款App被《华尔街日报》证实,已停止向Facebook传输用户的个人敏感信息。

Facebook还表示,如果有App不遵守上述条款,它可能会采取额外措施。“我们要求App开发者向用户明确说明他们与我们分享的信息,”Facebook发言人说,Facebook还会自动删除一些可能收到的敏感数据,例如社会保障号码(SSN)。

“Facebook正在研究如何查找违反其条款的应用程序,并建立安全措施以防止Facebook存储应用程序可能发送的敏感数据”,该发言人表示。

这起事件也引起了纽约州州长Andrew Cuomo的关注,他愤怒地称之为“无耻的隐私侵犯”。报道刊发当日,他即指示纽约州政府和金融服务局进行调查,并敦促华盛顿的监管机构也赶紧采取措施。“纽约市民有义务了解他们的个人信息是否安全,我们必须让互联网企业——不管多大的企业——遵守法律并负起保护智能手机用户信息的责任。”Cuomo说。

用四个字总结Facebook过去的一年,可谓“深陷泥淖”。

去年3月,因允许第三方App未经用户许可获取Facebook上的个人信息,导致8700万用户的个人信息泄露,Facebook一度经历了创立以来的至暗时刻。

此后,又被曝出利用内测软件有偿收集用户数据、被苹果撤销企业开发者证书。近日又因不正当披露封闭群组成员的姓名、电子邮件地址等敏感信息被投诉,目前正在与美国联邦贸易委员会(FTC)就数十亿美元的罚款进行谈判。

不过,在华盛顿哥伦比亚特区参议员Ed Markey看来,这些隐私泄露相关的事件中,此次Facebook无疑创下了“隐私滥用的历史新低”。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。