Facebook によるプライバシー侵害の歴史に新たな 1 ページが加わり、この問題をめぐる Apple との新たな争いが始まりました。この話は、昨年 8 月に Onavo Protect という Facebook VPN アプリが App Store からリリースされたことから始まり (Apple からの圧力により自主的に取り下げられた)、Facebook 側のいくつかの悪い慣行により、現在は再び急増しています。 Apple によるエンタープライズ アプリ開発者証明書の禁止 (取り消し) につながりました。
しかし、これは複雑なテーマであるため、正確に何が起こったのか、そして全体のストーリーを理解する方法を知るために、出来事の年表を段階的に説明していきます。
Onavo Protect、すべての始まり
2013 年、Facebook はイスラエルの企業 Onavo を買収しました。Onavo は、使用するユーザーのブラウジングに一連の機能と制御を追加する独自の VPN ソフトウェアを持っていました。概念を明確にするために、VPN (または仮想プライベート ネットワーク) は、デバイスがインターネットからプライベート ネットワークに接続し、そのネットワークが物理的に存在する場所であるかのようにネットワーク内を移動できるようにするプロトコルです。自宅に NAS サーバーがあると想像してください。iPhone から接続できる VPN ネットワークを作成し、物理的に自宅で WiFi 経由でネットワークに接続しているかのように、サーバー上のコンテンツに安全にアクセスできます。私の主なトラフィックは、通常のインターネット ネットワークから、仮想ノードとして接続されているプライベート ネットワークに転送されます。
VPN は、インターネット上に公開されていない企業の内部リソースへのアクセスを提供するためによく使用され、国の地理的な場所を回避して、その場所で制限されているアプリやサービスを使用できるようにします。 Onavo Protect の場合、このサービスはトラフィック制御、プライバシー、受信したデータの圧縮サービスも提供し、トラフィックを節約しました。これは Facebook が提供したもので、昨年 2 月にはメインアプリに PROTECT ボタンを備えた機能が登場し、このボタンを押すと Onavo Protect がインストールされるようになりました。
Facebook の言い訳は、そのアプリでは、そのネットワークを使用して職場にいるとき、カフェテリアなどの WiFi ネットワークのある公共の場所にいるとき、さらには自宅にいるときでも、よりプライベートで管理された方法で閲覧したい場合に、ユーザーに次のことを勧めるというものです。あなたのブラウジングとプライバシーを保護するために、そのアプリを使用してこのサービスを提供します。これらに接続すると、Web サイトやサービスへのリクエストはそのネットワークを通過します (迂回されます)。そのため、Onavo サーバーへの常時接続が表示されるだけで、実際にどこに接続されているかわからないため、トラフィックを監視したり制限したりする試みは役に立ちません。ブラウジングしていますか、それとも何をしていますか?少なくともその段階では、実際にあなたのプライバシーを保護します。
さらに、Onavo は、アプリが過剰なデータを使用したときにアラートを提供し、特定のサービスのバックグラウンド トラフィックを制限し、各アプリが実際にデータ消費にどれだけ費やしたかを把握します。そしてもちろん、完全なプライバシーを提供するため、データの機密性が高まります。パスワード、銀行口座、カード番号などの項目は誰にも見られませんでした。 Onavo Protect は現在も Google Play で入手できます。
しかし、すでに述べたように、Appleは8月に、アプリがユーザーのすべてのアクティビティを記録しているとして、プライバシー規則の最新の見直しに準拠していないとして、このアプリをApp Storeから削除するようFacebookに要請した。ここまでは、収集するデータとその用途についてユーザーに詳細に通知し、ユーザーがプライバシー ポリシーに同意する場合は問題ありません。しかし、問題は活動を収集するだけでなく、子会社や第三者に販売することであるため、判決はまだ完了していません。
実際、このアプリは現在も Google Play にあります。これは、アプリがユーザーの許可を得て情報を収集し、その情報を第三者に販売することが許可されているためです。 8月のXatakaの記事で報告されているように、問題はOnavo Protectのプライバシーポリシーの次の文章だ。
当社は、ユーザー、関連会社、第三者に新しく革新的なサービスを提供、分析、改善、開発するため、またユーザーと通信するため、広告目的で、そして自分自身や他人を守るために情報を使用する場合があります。
Apple はこれを許可しておらず (太字で強調表示)、そのため、App Store からアプリを削除するまで Facebook に圧力をかけました。そして、すべてがここに留まっていれば、何も問題はありません。しかし今日、Facebook がデータを渇望して、もっと深刻な目的で Onavo のテクノロジーを使用したことが知られるようになりました。
Facebook Research、App Storeの外部にインストールされるVPN
今日、Facebookがサービスの改善と利用方法の学習を目的として、調査アプリを使用して生活全体をデジタル化するために、13歳から35歳までの若者と成人に2年間月額最大20ドルを支払っているというニュースが流れた。 Facebook ユーザーの実践。
このために、彼らは Facebook Research アプリを装った Onavo Protect アプリを使用しており、これにはすでに述べた機能に加えて、 iPhone の個人的な使用記録にアクセスして iPhone からすべての情報を抽出する機能が追加されています。ユーザー関連: 通信アプリやソーシャル ネットワークのプライベート メッセージ (送信された写真やビデオ、電子メール、Web 検索、閲覧アクティビティ、デバイスのリアルタイムの位置情報など)。
さらに、VPN ドメインへのルート アクセスも要求し、デバイス上に信頼できる証明書のインストールを要求します。これにより、 iPhone が送信するすべての出力または入力データがネットワークを通過することが必須になります。 iPhone 自体が VPN プロトコルに転送できるトラフィック。
Apple は、この種のアプリを App Store で公開することを許可していますか?いいえ。実際、App Store からの拒否総数の約 25% は、ストアのプライバシー ルールに準拠していないアプリに対するものです。では、どうすれば公開できるのでしょうか?そうではないからです。このアプリは、Enterprise 証明書を使用してインストールされます。企業が社内で使用する独自のアプリケーションを開発でき、App Store や Apple の審査を通過する必要がないように設計された証明書の一種。いわゆる社内開発を容易にする方法。証明書の一種で、その規則では、会社の車両または従業員のデバイスにアプリをインストールする場合にのみ使用できると厳密に規定されています。他には何もありません。
この問題が Facebook の悪しき慣行を広範に分析した Techcrunch ページによって公表されたとき、Apple はこの問題について公式声明を発表し、IphoneFocus.clickはこれにアクセスできました。
Enterprise Developer Program は、組織内でのアプリの内部配布を可能にすることのみを目的として設計されました。 Facebookはそのサブスクリプションを利用してユーザーデータを収集するアプリを配布しており、これはAppleとのこのサービスの使用に関する契約に対する明らかな違反である。エンタープライズ証明書を使用してエンド ユーザーまたは消費者にアプリを配布する開発者は、証明書が失効することになります。この場合、ユーザーとそのデータのプライバシーを保護するために、これを行っています。
読んでわかるように、Apple がこの慣行を知ったとき、行ったことは Facebook 証明書を取り消すことでした。このようにして、取り消し日以降、この証明書で署名されたアプリは、インストールされている iPhone で動作しなくなります。アプリを実行しようとする有効な署名になります。
こうした慣行が(使用契約やライセンス契約に準拠していないことは別として)特にユーザーに提供されるアプリに伴う危険性は、 App Store を経由しないことで、Facebook Research アプリに制限がなく、望むものをほぼすべて制御できることです。 。 iPhone のファイル システムやサービスに許可なくアクセスできます。つまり、iOS 上でより多くのアクセスを可能にするプライベート ライブラリ (App Store では厳しく禁止されています) を使用します。
この行為は一部の地域で広く行われており、iPhone で一度に複数の WhatsApp (異なる電話番号) に接続できるようにし、サービスを欺くために使用するサーバーを通じて会話を傍受するアプリが存在することがわかっています。 1 つのデバイスで 2 つの番号を使用すること。
レトロなゲーム機やコンピュータのエミュレータの場合さえあります(それらを機能させるための ROM メモリのコピーは著作権で保護されており、Apple がこの種のソフトウェアを App Store で許可しないのはそのためです)。これらの権利の所有者)により、このタイプの証明書を使用してインストールできるようになります。構成プロファイルのインストールと、その証明書を使用して作成されたプログラムに対する信頼承認を必要とする証明書。これはジェイルブレイクではありませんが、Apple の審査に合格していないアプリをデバイス上で実行できるようにするため、当社自身のセキュリティとプライバシーの観点から推奨されません。
Facebook、私たちはあなたのプライバシーを気にしません
何よりも素晴らしいのは、より良いサービスを提供するという口実で、より多くのデータを取得する努力を諦めないことです。 Techcrunch が発見したように、Facebook はこの Facebook Research アプリのバージョンとなる 3 つのアプリ (BetaBound、uTest、Applause) をテスト中であるためです。中にはインスタグラムで広告キャンペーンを行っているところもあります。 App Store からではなく Web からアプリをインストールするには、ユーザーがデバイス上の Facebook 証明書を認証する必要があるのと同じシステムを使用するアプリ。
そのうちの 1 つである uTest は、13 歳から 17 歳の未成年ユーザーにも広告を表示しており、保護者の同意を得てデバイスの使用に関するすべての情報を収集させるために料金を支払っています。ページの 1 つでは、このアプリの目的が次のように説明されています。
このソフトウェアをインストールすると、お客様がインターネットをどのように閲覧するか、お客様がインストールしたアプリの機能をどのように使用するかを当社が理解するのに役立つデータを携帯電話から収集する許可をお客様に与えることになります。これは、お客様が携帯電話にどのようなアプリを搭載しているか、いつ、どこでそれらを使用するか、それらのアプリ内のアクティビティやコンテンツに関するデータ、他の人々がアプリ内でお客様やお客様のコンテンツとどのようにやり取りするかなどの情報を当社のクライアントが収集することを許可することを意味します。アプリ。また、お客様は、当社のクライアントがお客様のインターネット閲覧活動 (お客様が訪問したページ、お客様とお客様のデバイス間で交換されるデータを含む) およびお客様による他のオンライン サービスの使用に関する情報を収集することを許可します。アプリが暗号化を使用している場合でも、またはブラウザーからの安全な SSL 証明書セッション内からでも、クライアントがこの情報を収集する場合があります。
でもねえ、彼らはあなたの友人のために月に20ドルのギフトカードを提供します。すごいですね。 Facebook のような企業によるこの種の悪い慣行により、私たちはいかなる代償を払ってもプライバシーを売却できないことがさらに明確になります。ただし、この場合、ユーザーの権利の観点から分析すると Facebook は「合法」です。彼らは、あなたがアクセス権を与えているものを明確に通知しています。問題は、マネートラップ(特に未成年者向け)では、アプリやブラウジングからの暗号化された情報など、彼らが持つ権利があるかどうかが明らかではないデータを彼らに提供していることです。
そして、これは私たちを永遠の質問に戻します。無限のテキストに「はい」と言うとき、私たちは何を放棄するのか、何を受け入れるのかを本当に認識しているのでしょうか、それともサービスを使用することだけに集中しており、そのサービスにいくらの対価を払っているのかを知りません。私たちのデータ?私たち全員がもっと認識し、主に有名なTikTokアプリなど、ユーザーに損害を与えている新しいサービスに関連する市場動向を知りたいというFacebookの欲求を明らかに濫用しているこの種の行為を許可すべきではありません。すべてが正当化されるわけではないと思いますし、ましてや自分が何を受け入れているのかも知らず、ただ提供されたお金だけを望んでいるユーザーの「無邪気さ」をもてあそぶことなどはありません。