Все, що потрібно знати про скандал з додатками Facebook та Google і реакцію на нього Apple
Facebook і Google минулого тижня посварилися з Apple. Відразу два розслідування TechCrunch, які були опубліковані того тижня, виявили, що технологічні гіганти зловживали спеціальними сертифікатами, які дозволяли їм створювати додатки для власних потреб. Компанія Apple скасувала ці сертифікати на певний час. Проте можна вважати, ця історія поклала початок нового етапу протистоянню між технологічними гігантами.
Як все це почалося, і що сталося?
У понеділок стало відомо, що Facebook зловживає корпоративним сертифікатом розробника, виданим їй компанією Apple. Такі спеціальні сертифікати Apple видає лише для компаній, які використовують їх, в свою чергу, для розповсюдження внутрішніх додатків лише для власних співробітників, без необхідності проходити через розміщення у інтернет-магазині Apple App Store. Але гігант соціальних медіа використовував цей сертифікат не за прямим призначенням. Компанія Facebook цим сертифікатом підписала додаток Facebook Research, розповсюджуваний поза межами компанії. Цими діями Facebook порушила правила компанії Apple.
Додаток, відомий як Facebook Research, дозволив Facebook отримати безпрецедентний доступ до всіх даних, що надходять з пристрою, на якому його встановили. Серед цих даних — деякі найбільш чутливі мережеві дані користувачів. Facebook платив користувачам за використання цього додатку, включаючи підлітків, $20 на місяць.
Проте користувачі цього додатку не підозрювали, які саме дані вони передають компанії Facebook.
Більше того: виявилося, що цей додаток було запущено замість іншого, який Apple заборонила півроку тому за те, що він збирав занадто багато даних про користувачів. Мова йде про Onavo, за допомогою якого соцмережа відслідковувала найбільш популярні додатки серед користувачів.
Вочевидь, такі дії Facebook буквально розлютили Apple. Через використання спеціальних сертифікатів розробника не за призначенням компанія Apple скасувала їх. Результатом цього стало те, що додатки Facebook, які використовували ці сертифікати, перестали працювати, в тому числі програми, створені та доступні тільки для співробітників компанії. Через це співробітники Facebook фактично не могли працювати – вони не могли використовувати багато інших додатків їх повсякденного використання допоки Apple не видала повторно сертифікат.
Згодом виявилося, Google робила майже точно те ж саме з його додатком Screenwise, і ця компанія також стала жертвою бану з боку Apple.
Які суперечки виникли щодо цих корпоративних сертифікатів і до чого вони можуть призвести?
Якщо ви хочете розробляти програми для пристроїв Apple, ви повинні дотримуватися правил компанії — і Apple чітко змушує компанії погодитися на її умови.
Ключовим правилом є те, що Apple не дозволяє розробникам програм обходити App Store, де кожен додаток перевіряється, щоб гарантує його безпеку.
Компанія, однак, надає винятки для корпоративних розробників, наприклад, для компаній, які хочуть створювати програми лише для своїх співробітників. Facebook і Google у цьому випадку зареєструвалися як корпоративні розробники і погодилися на умови розробників Apple.
Кожен сертифікат, виданий Apple, надає компаніям дозвіл на розповсюдження внутрішніх додатків, але лише з цілями тестування. Проте сертифікати не можна використовувати для звичайних споживачів, оскільки вони повинні завантажувати програми для Apple-пристроїв тільки через магазин App Store.
Що таке «кореневий» сертифікат, і чому доступ до нього є проблемою?
Оскільки програма Facebook Research та програма Screenwise Google були розповсюджені за межами App Store від Apple, вони вимагали вручну встановити додаток — відомий як sideloading. Це вимагає, щоб користувачі пройшли через декілька заплутаних кроків завантаження самого додатка, а також відкриття дозволу для сертифікату підпису розробника коду Facebook або Google. Такий дозвіл потрібен, щоб програма змогла запуститися.
Обидві компанії вимагали, щоб користувачі після встановлення програми погодилися на додатковий крок конфігурації — відомий як профіль конфігурації VPN. Це означає, що користувачі таким чином дозволили всім даним, що надходять з їх телефону, проходити через спеціальний тунель, який направляє їх до Facebook або Google.
Саме тут дії компаній Facebook і Google відрізняються.
Додаток Google збирає дані та надсилає їх у Google для дослідницьких цілей, але не може отримати доступу до зашифрованих даних — наприклад, до вмісту будь-якого мережевого трафіку, захищеного HTTPS, який використовують більшість додатків з App Store та інтернет-сайтів.
Facebook, однак, пішла набагато далі. Її користувачам було запропоновано пройти додатковий крок, щоб довіряти додатковому типу сертифіката на «кореневому» рівні телефону. Довіряючи цьому сертифікату Facebook Research, гігант соціальних медіа міг отримувати весь зашифрований трафік, що виходить з пристрою.
По суті, це була реалізація атаки «людина-в-середині» («man-in-the-middle»). Це дозволило Facebook просіювати ваші повідомлення, ваші електронні листи та будь-які інші дані, які передає ваш телефон.
Програма Google, можливо, й не могла аналізувати зашифрований трафік, але компанія все одно не дотримувалася правил — і у будь-якому випадку для неї було скасовано її корпоративний сертифікат розробника.
До яких iOS-даних мала доступ Facebook?
Важко знати напевно, але вона, безперечно, мала доступ до більшої кількості даних, ніж Google.
Facebook заявила, що її додаток допомагав їй «зрозуміти, як люди використовують свої мобільні пристрої». Насправді, на рівні кореневого трафіку, Facebook може мати доступ до будь-яких даних, які передає ваш телефон.
Іншими словами, мова йде про те, що Facebook могла постійно збирати наступні типи дані: приватні повідомлення в програмах соціальних медіа, чати з додатків миттєвих повідомлень — включаючи фотографії / відео, надіслані іншим користувачам, електронні листи, історію веб-пошуку, активність веб-перегляду й навіть інформацію про місцезнаходження, використавши канали будь-яких додатків для відстеження місцезнаходження.
Пам’ятайте: це не «кореневий» доступ до вашого телефону, як, наприклад, джейлбрейк, це кореневий доступ до мережевого трафіку.
Чи можуть ці додатки зафіксувати дані людей, з якими взаємодіє власник телефону?
В обох випадках так. У випадку Google будь-які незашифровані дані, які стосуються даних інших осіб, можна було зібрати. У випадку Facebook, це йде набагато далі — будь-які ваші дані, які взаємодіють з іншою людиною, наприклад, електронною поштою або повідомленням, могли бути зібрані програмою Facebook.
На скільки людей це вплинуло?
Важко знати точно. Ні Google, ні Facebook не сказали, скільки користувачів використовували їх додатки. Між ними, як вважається, тисячі.
Чи є це законно в США? Що стосовно Європи з GDPR?
Ці дії обох компаній не є незаконними, принаймні у США. Facebook стверджувала, що вона отримала згоду від своїх користувачів. Компанія навіть сказала, що її користувачі-підлітки повинні були отримати згоду батьків, хоча це перевірити практично неможливо.
Вочевидь, що діти, які «погодилися» на використання додатку, навряд чи дійсно розуміли, наскільки особисті та чутливі дані вони передають.
Це може призвести до великих регуляторних наслідків, особливо, якщо виявиться, що підлітки з Європи користувалися цим додатком. В цьому випадку компанія може зіткнутися з шквалом скарг у рамках Загального Регламенту щодо захисту даних (GDPR) — і перспективою штрафів та судових позовів.
Хто ще зловживав сертифікатами?
Не думайте, що Facebook і Google є єдиними в цьому. Виявляється, багато компаній також можуть нехтувати такими правилами. Серед компаній, які зловживали чи могли це робити – проект Sonos, фінансова програма Binance, а також DoorDash.
Що далі?
Цього поки ніхто не знає. Особливо, якщо згадати всі попередні «фейли» Facebook. Можливо, компанія зіткнеться з розслідуванням своєї діяльності з боку американських регуляторів.