V uplynulých týdnech proběhla internetem kauza, že Facebook platil uživatelům za to, aby mu umožnili kompletní přístup k datům na svých telefonech. Facebook projekt ukončil a následně se přidal i Google, který provozoval něco podobného. Hlavní problém tohoto počínání nebyl v projektu jako takovém, ale že obě firmy obešly podmínky pro aplikace na iOS.
Sledování se souhlasem a odměnou
Facebook k získávání údajů používal aplikaci „Facebook Research“, která sloužila jako VPN a tím mohla sledovat dění na síti. Využívala ale i certifikátů pro iOS, které umožňují kompletní přístup k celému systému, a tak pro Facebook nebyl problém zjistit, jaké zprávy konkrétně lidé posílají či jaké fotografie vyfotili. Tyto certifikáty jsou vždy svázané s danou firmou a je povoleno je používat pouze pro své zaměstnance v rámci firemních telefonů, nad kterými může mít firma kontrolu.
Za účast v průzkumu od roku 2016 vyplácel až 20 dolarů měsíčně, přičemž se zaměřoval na uživatele ve věku 13 až 35 let. Po uživatelích dokonce vyžadoval screenshot uskutečněných nákupů na Amazonu. Program šířil skrze služby Applause, BetaBound a uTest, a to převážně proto, aby nebylo na první pohled zřejmé, že za projektem stojí právě Facebook.
I když podobné jednání není nelegální, protože firma měla od uživatelů souhlas, je zatím nejasné, zda měla řádný souhlas od mladistvých. Ti museli získat souhlas od zákonných zástupců, aby mohli aplikaci používat, omezení ale šlo obejít a není jasné, zda takto mladí uživatelé zcela pochopili, jak moc ze svého soukromí Facebooku odevzdají.
Apple zasahuje
Aby Facebook získal kompletní přístup k telefonu, využil na iOS možnosti licencování pro využití v podnicích. Těm Apple ve speciálních podmínkách umožňuje instalaci aplikací s certifikátem mimo App Store, přičemž vše má sloužit pouze pro interní potřeby firmy a je explicitně zakázáno distribuovat tyto certifikáty mezi běžné uživatele.
Tímto Facebook porušila podmínky Applu, na což reagoval po zveřejnění informací o výzkumu tím, že certifikáty zablokoval. Facebook samotný oznámil, že s výzkumem na iOS končí, o verzi pro Android se ale nezmínil.
Krátce po odhalení této kauzy vyšlo najevo, že se podobného jednání dopouštěl i Google se svou aplikací Screenwise, což vedlo ke stejnému výsledku ze strany Applu – blokaci certifikátů pro Google.
Facebook sledoval i zašifrovanou komunikaci. (zdroj: TechCrunch)
Facebook byl ale ve sledování mnohem důslednější, od uživatelů si totiž vyžádal i přístup k zašifrované komunikaci. Zatímco aplikace Googlu neviděla do obsahu přenášeného skrze HTTPS, Facebook měl přístup ke všemu včetně e-mailů a zpráv. Bezpečné byly pouze aplikace, které odmítaly všechny certifikáty vyjma vlastních, jako je iMessage či Signal a další.
Zrušením certifikátu odstavil Apple Facebooku na den a Googlu na několik hodin veškeré interní aplikace, které se jím prokazovaly. Googlu tak například nefungovala ani aplikace pro vydávání obědů ve svých kampusech. I když toto zrušení bylo dočasné, zvedlo v zahraničí obočí nejednomu uživateli.
Applu je často vytýkáno, že má příliš přísný schvalovací proces aplikací a neváhá je odstranit z App Store při jakémkoli podezření na nesplnění podmínek. Nyní ukázal, že neváhá znefunkčnit již nainstalované aplikace. Podobné bezpečnostní pojistky ale nejsou ničím zvláštním, dokáže to i Google na Androidu. Ale tento případ byl vodou na mlýn Applu, který se rád honosí tím, že chrání soukromí uživatelů.
Co z toho mají?
Facebook v minulosti využíval k podobným aktivitám aplikaci Onavo, kterou mu Apple minulý rok zakázal. Díky ní například odhalil popularitu kecálku WhatsApp ještě dříve, než se jej zmocnila konkurence. Při následné akvizici s Facebookem už šel Facebook na jistotu a přesně věděl, jak aplikaci uživatelé skutečně používají. Mimochodem – ukázalo se, že byli čtyřikrát aktivnější než uživatelé Messengeru, což bylo pro Facebook obrovské lákadlo. Ostatně, za WhatsApp zaplatil 19 miliard dolarů.
Jak chránit své soukromí, aby vám Facebook neslídil v telefonu příliš?
„Šmírovací“ aplikace se ale hodí i pro sledování aktuálních trendů a toho, jak uživatelé reálně své telefony používají. Lákavé je také kombinování těchto informací s těmi dostupnými, které sdílíme veřejně či mezi přáteli téměř všichni. Výzkumníci tak měli velmi konkrétní pohled na jednotlivé účastníky průzkumu a vnímání hranice jejich soukromí.
Zde je ale nutno opět připomenout, že zapojení účastníků bylo dobrovolné, vědomé a placené. Ani jedna z těchto dvou firem, byť obě porušily podmínky iOS, nesledovaly v tomto rozsahu uživatele bez jejich vědomí a souhlasu.
Stálo by vám to za to?
Otázka k zamyšlení na závěr: Byli byste ochotni na něco takového přistoupit? Odměnou bylo 20 dolarů měsíčně, to je necelá pětistovka korun. Bez práce, pouze stačí jako jindy používat telefon.
Jenže jde o kompletní vaše data. A to neagregovaná, prostě zcela konkrétní údaje. Možná je zpracovává sice zase jen robot, ale klidně k nim může mít přístup i někdo ze zaměstnanců Googlu a Facebooku. Nad svými soukromými daty už nemáte kontrolu. A následně si o vás firma vytvoří velmi podrobný profil.
Navíc jsou do tohoto projektu nevědomky (o odměně nemluvě) zataženi i ti, se kterými vedete konverzace. To je nejspornější část těchto projektů, jak eticky, tak právně.
Pokud si přesto chcete nechat platit za svá soukromá data, stále můžete. Tyto dva programy sice na iOS skončily, ale na Androidu budou zřejmě pokračovat dále (zde nedochází k porušování firemních certifikátů) a je pravděpodobné, že Facebook a Google nejsou jediní, kteří něco takového provozují. Ale radit vám v tomto směru nebudeme.
