Facebook paga adolescentes para instalar a VPN que os espiona

O intermediário do Facebook, uTest, teria publicado anúncios no Snapchat e no Instagram, atraindo os adolescentes para o programa de pesquisa com a promessa de dinheiro.

Por | @fsbeling Facebook Pular para comentários

Desesperado por dados sobre seus concorrentes, o Facebook teria secretamente pago pessoas para instalar uma VPN “Facebook Research” que permite que a empresa absorva toda a atividade do telefone e web do usuário, semelhante ao aplicativo Onavo Protect do Facebook que a Apple baniu em junho, o qual foi removido em agosto.

O Facebook evita a App Store e recompensa adolescentes e adultos a baixar o aplicativo de pesquisa e dar acesso root ao tráfego de rede, o que pode ser uma violação da política da Apple para que a rede social possa descriptografar e analisar sua atividade telefônica, confirmada através de uma investigação do TechCrunch. O Facebook teria admitido ao TechCrunch que estava executando o programa de pesquisa para coletar dados sobre os hábitos de uso.

Desde 2016, o Facebook paga usuários com idades entre 13 e 35 anos até US$ 20 por mês, além de taxas de indicação para vender sua privacidade, instalando o aplicativo “Facebook Research” do iOS ou Android. O Facebook até pediu aos usuários para fazer o screenshot de sua página de histórico de pedidos da Amazon. O programa é administrado pelos serviços de testes beta Applause, BetaBound e uTest para encobrir o envolvimento do Facebook, e é referido em algumas documentações como "Projeto Atlas" - um nome apropriado para o esforço do Facebook de mapear novas tendências e rivais ao redor do mundo.  

Imgem: TechCrunch. O aplicativo de pesquisa do Facebook exige que os usuários "confiem" nele com acesso extensivo a seus dados.Imagem: TechCrunch. O aplicativo de pesquisa do Facebook exige que os usuários "confiem" nele com acesso extensivo a seus dados.

 

O TechCrunch solicitou ao especialista em segurança do Guardian Mobile Firewall, Will Strafach, que investigasse o aplicativo do Facebook Research, e ele disse que “se o Facebook fizer uso total do nível de acesso solicitado aos usuários para instalar o certificado, eles terão a capacidade de coletar continuamente os seguintes dados:

  • Mensagens privadas em aplicativos de mídia social;
  • Bate-papos em aplicativos de mensagens instantâneas - incluindo fotos / vídeos enviados para outras pessoas;
  • E-mails
  • Pesquisas na Web;
  • Atividade de navegação na Web;
  • Informações de localização."

Não está claro exatamente com quais dados o Facebook se preocupa, mas obtém acesso quase ilimitado ao dispositivo de um usuário assim que ele instala o aplicativo. A estratégia mostra até onde o Facebook está disposto a ir e quanto está disposto a pagar para proteger seu domínio - mesmo correndo o risco de quebrar as regras da plataforma iOS da Apple, da qual depende.

A Apple pode ter pedido ao Facebook para interromper a distribuição de seu aplicativo de pesquisa. Uma punição mais rigorosa seria revogar a permissão do Facebook para oferecer aplicativos somente para funcionários. A situação poderia agravar ainda mais as relações entre os gigantes da tecnologia. Tim Cook, da Apple, criticou repetidamente as práticas de coleta de dados do Facebook. O Facebook desobedecendo as políticas do iOS para obter mais informações pode se tornar um novo ponto de discussão. O TechCrunch falou com a Apple e está ciente do problema, mas a empresa não forneceu uma declaração antes do tempo da imprensa.

Isso dá ao Facebook acesso contínuo aos dados mais confidenciais sobre você, e a maioria dos usuários não poderá consentir razoavelmente com isso, independentemente de qualquer acordo assinado por eles, porque não há uma boa maneira de expressar quanto poder é entregue ao Facebook quando você faz isso. 

O Facebook entrou no negócio de detecção de dados quando adquiriu a Onavo por cerca de US$ 120 milhões em 2014. O aplicativo de VPN ajudou os usuários a rastrear e minimizar o uso de planos de dados móveis, mas também deu análises profundas ao Facebook sobre quais aplicativos eles estavam usando. Documentos internos adquiridos por Charlie Warzel e Ryan Mac, do BuzzFeed News, revelam que o Facebook conseguiu alavancar a Onavo para saber que o WhatsApp estava enviando mais do que o dobro de mensagens por dia do Facebook Messenger. Onavo permitiu que o Facebook identificasse a ascensão meteórica do WhatsApp e justificasse o pagamento de US$ 19 bilhões para comprar a startup de bate-papo em 2014. O WhatsApp triplicou sua base de usuários, demonstrando o poder da previsão de Onavo.

Em 2018, o Facebook estava promovendo o aplicativo Onavo em um favorito Protect do aplicativo principal do Facebook, na esperança de marcar mais usuários para bisbilhotar. O Facebook também lançou o aplicativo Onavo Bolt, que permite que você bloqueie aplicativos atrás de uma senha ou impressão digital enquanto o examina, mas o Facebook encerrou o aplicativo no dia em que foi descoberto, após críticas de privacidade.

O aplicativo principal da Onavo permanece disponível no Google Play e foi instalado mais de 10 milhões de vezes. Em junho, a Apple atualizou suas políticas de desenvolvedor para proibir a coleta de dados sobre o uso de outros aplicativos ou dados que não são necessários para que um aplicativo funcione. A Apple informou ao Facebook em agosto que a Onavo Protect violou essas políticas de coleta de dados e que a rede social precisava removê-la da App Store, o que aconteceu, relatou Deepa Seetharaman, do WSJ. Mas isso não impediu a coleta de dados do Facebook.

Projeto Atlas

Recentemente, o TechCrunch teria recebido uma denúncia de que, apesar do Onavo Protect ter sido banido pela Apple, o Facebook estava pagando aos usuários para que enviassem um aplicativo de VPN similar sob o apelido da Pesquisa do Facebook de fora da App Store.

Com isso, em uma investigação do TechCrunch, descobriu-se que o Facebook estava trabalhando com três serviços de teste beta para distribuir o aplicativo Facebook Research: BetaBound, uTest e Applause. O Facebook começou a distribuir o aplicativo de Pesquisa VPN em 2016. Ele foi chamado de Projeto Atlas desde meados de 2018, quando a folga para a Onavo Protect ampliou e a Apple instituiu suas novas regras que proibiam a Onavo. Anteriormente, um programa semelhante era chamado de Project Kodiak. O Facebook não queria parar de coletar dados sobre o uso de telefone das pessoas e, assim, o programa de pesquisa continuou, em desrespeito pela proibição da Onavo Protect pela Apple.

O intermediário do Facebook, uTest, publicou anúncios no Snapchat e no Instagram, atraindo os adolescentes para o programa de pesquisa com a promessa de dinheiroO intermediário do Facebook, uTest, publicou anúncios no Snapchat e no Instagram, atraindo os adolescentes para o programa de pesquisa com a promessa de dinheiro.

Anúncios para o programa executado pelo uTest no Instagram e Snapchat procuraram adolescentes de 13 a 17 anos para um “estudo de pesquisa de mídia social paga”. A página de inscrição do programa de Pesquisa do Facebook administrada por Aplausos não menciona o Facebook , mas procura usuários “Idade: 13-35 (consentimento dos pais necessário para idades 13-17).”

Se menores tentam se inscrever, eles são solicitados a obter a permissão de seus pais com um formulário que revela o envolvimento do Facebook e diz “Não há riscos conhecidos associados ao projeto, mas você reconhece que a natureza inerente do projeto envolve o rastreamento de informações pessoais por meio do uso de aplicativos do seu filho. Você será compensado por Aplausos pela participação de seu filho. ”

Para crianças com pouco dinheiro, os pagamentos poderiam coagi-los a vender sua privacidade ao Facebook. O site Applause explica quais dados podem ser coletados pelo aplicativo Facebook Research "Ao instalar o software, você concede ao cliente permissão para coletar dados de seu telefone que os ajudará a entender como você navega na Internet e como você usa os recursos dos aplicativos que você instalou. . . Isso significa que você está permitindo que nosso cliente colete informações, como quais aplicativos estão no seu telefone, como e quando você os usa, dados sobre suas atividades e conteúdo nesses aplicativos, além de como outras pessoas interagem com você ou com seu conteúdo apps. Você também está permitindo que nosso cliente colete informações sobre sua atividade de navegação na Internet (incluindo os sites que você visita e os dados que são trocados entre seu dispositivo e esses sites) e seu uso de outros serviços online. Há alguns casos em que nosso cliente coletará essas informações mesmo quando o aplicativo usar criptografia ou em sessões seguras do navegador ”. 

Enquanto isso, a página de inscrição do BetaBound com um URL que termina em "Atlas" explica que "Por US$ 20 por mês (por meio de cartões de presente eletrônico), você instalará um aplicativo em seu telefone e o deixará rodar em segundo plano". Além disso, também oferece US$ 20 por amigo que você indicar. Esse site também não menciona inicialmente o Facebook, mas o manual de instruções para instalar o Facebook Research revela o envolvimento da empresa.

O Facebook parece ter intencionalmente evitado o TestFlight, o sistema oficial de testes beta da Apple, que requer que os aplicativos sejam revisados ​​pela Apple e que sejam limitados a 10.000 participantes. Em vez disso, o manual de instruções revela que os usuários baixam o aplicativo de r.facebook-program.com e são instruídos a instalar um Certificado de Desenvolvedor Empresarial e VPN e o Facebook "Confiável" com acesso root aos dados que o telefone transmite.

A Apple exige que os desenvolvedores concordem em usar este sistema de certificados apenas para distribuir aplicativos corporativos internos para seus próprios funcionários. O recrutamento aleatório de testadores e o pagamento de uma taxa mensal parecem violar o espírito dessa regra.

Depois de instalados, os usuários precisavam manter a VPN em execução e enviar dados para o Facebook para receber o pagamento. O programa administrado por Aplausos solicitou que os usuários fizessem uma captura de tela de sua página de pedidos do Amazon. Esses dados podem ajudar o Facebook a vincular os hábitos de navegação e o uso de outros aplicativos com preferências e comportamento de compra. Essas informações podem ser aproveitadas para identificar a segmentação de anúncios e entender quais tipos de usuários compram o quê. 

O especialista em segurança Will Strafach descobriu que o aplicativo de pesquisa do Facebook contém muitos códigos do Onavo Protect, o aplicativo do Facebook que a Apple baniu no ano passado.O especialista em segurança Will Strafach descobriu que o aplicativo de pesquisa do Facebook contém muitos códigos do Onavo Protect, o aplicativo do Facebook que a Apple baniu no ano passado.

O TechCrunch contratou Strafach para analisar o aplicativo do Facebook Research e descobrir para onde estava enviando dados. Ele confirmou que os dados são roteados para “vpn-sjc1.v.facebook-program.com” que está associado ao endereço IP da Onavo, e que o domínio facebook-program.com está registrado no Facebook, de acordo com o MarkMonitor.

O aplicativo pode se atualizar sem interagir com a App Store e está vinculado ao endereço de e-mail PeopleJourney@fb.com. Ele também descobriu que o Enterprise Certificate adquirido pela primeira vez em 2016 indica que o Facebook o renovou em 27 de junho de 2018 - semanas depois que a Apple anunciou suas novas regras que proibiam o similar aplicativo Onavo Protect.

É complicado saber quais dados o Facebook está realmente salvando sem acesso a seus servidores. A única informação que se tem até agora é o que o Facebook é capaz de fazer com base no código do aplicativo. E isso pinta uma imagem muito preocupante ”, explica Strafach. “Eles podem responder e alegar que só retêm / salvam dados limitados muito específicos, e isso pode ser verdade, isso realmente se resume ao quanto você confia na palavra do Facebook. A narrativa mais caridosa dessa situação seria que o Facebook não pensava muito sobre o nível de acesso que eles estavam concedendo a si mesmos. . . que é um nível surpreendente de negligência em si, se for esse o caso ”. Completou dizendo, "Flagrante de desrespeito as regras da Apple".

Em resposta à consulta do TechCrunch, um porta-voz do Facebook confirmou que está executando o programa para saber como as pessoas usam seus telefones e outros serviços.

O porta-voz disse: “Como muitas empresas, convidamos as pessoas a participar de pesquisas que nos ajudam a identificar as coisas que podemos estar fazendo melhor. Como esta pesquisa visa ajudar o Facebook a entender como as pessoas usam seus dispositivos móveis, fornecemos informações abrangentes sobre o tipo de dados que coletamos e como eles podem participar. Não compartilhamos essas informações com outras pessoas e as pessoas podem parar de participar a qualquer momento. ”

Eles disseram que o Facebook lançou seu programa de pesquisa em 2016. Eles tentaram comparar o programa a um grupo focal e disseram que a Nielsen e a comScore rodam programas similares, mas nenhum deles pede às pessoas para instalar uma VPN ou fornecer acesso root à rede. O porta-voz confirmou que o programa de pesquisa do Facebook recruta adolescentes, mas também outros grupos etários de todo o mundo. Eles alegaram que a Onavo e o Facebook Research são programas separados, mas admitiram que a mesma equipe apoia ambos, o que explica a semelhança do código.

No entanto, a alegação do Facebook de que ele não viola a política de certificado corporativo da Apple é diretamente contrariada pelos termos dessa política. Estes incluem que os desenvolvedores “distribuem os perfis de provisionamento apenas para seus funcionários e somente em conjunto com seus aplicativos internos de uso com o propósito de desenvolver e testar”.

A política também estabelece que “Você não pode usar, distribuir ou disponibilizar seus aplicativos internos aos seus clientes”, a menos que esteja sob supervisão direta de funcionários ou nas instalações da empresa. Uma vez que os clientes do Facebook estão usando o aplicativo com certificado empresarial sem supervisão, parece que o Facebook está em violação. Sete horas após a publicação do TechCrunch, o Facebook atualizou sua posição e disse que encerraria o aplicativo iOS Research. O Facebook observou que o aplicativo de pesquisa foi iniciado em 2016 e, portanto, não substituiu o Onavo Protect. No entanto, eles compartilham código semelhante e podem ser vistos como gêmeos rodando em paralelo.

Um porta-voz do Facebook também forneceu esta declaração adicional: “Fatos importantes sobre este programa de pesquisa de mercado estão sendo ignorados. Apesar dos primeiros relatos, não havia nada "secreto" sobre isso; foi literalmente chamado de Facebook Research App. Não foi "espionagem", pois todas as pessoas que se inscreveram para participar passaram por um processo claro de integração pedindo permissão e foram pagas para participar. Menos de 5% das pessoas que optaram por participar desse programa de pesquisa de mercado eram adolescentes. Todos eles com formulários de consentimento dos pais assinados. ” 

O Facebook não promoveu publicamente a própria VPN de pesquisa e usou intermediários que muitas vezes não divulgavam o envolvimento do Facebook até que os usuários iniciassem o processo de inscrição. Enquanto os usuários recebiam instruções e avisos claros, o programa nunca enfatiza nem menciona a extensão total dos dados que o Facebook pode coletar através da VPN. 

“O código neste aplicativo para iOS indica fortemente que é simplesmente uma versão com pouca marca do aplicativo banido da Onavo, agora usando um certificado corporativo de propriedade do Facebook em violação direta das regras da Apple, permitindo que o Facebook distribua este aplicativo sem a revisão da Apple, para quantos usuários quiserem ”, diz Strafach. "Esta é uma violação flagrante em muitas frentes, e eu espero que a Apple aja rapidamente na revogação do certificado de assinatura para tornar o aplicativo inoperável." 

O Facebook está particularmente interessado no que os adolescentes fazem em seus telefones à medida que os usuários demográficos abandonam cada vez mais a rede social em favor do Instagram do Snapchat, do YouTube e do Facebook. Os insights sobre o quão popular entre os adolescentes é o aplicativo de vídeo musical chinês TikTok e o compartilhamento de memes levaram o Facebook a lançar um clone chamado Lasso e começar a desenvolver um recurso de navegação por memes chamado LOL, informou o TechCrunch.

No ano passado, quando perguntaram a Tim Cook o que ele faria na posição de Mark Zuckerberg após o escândalo da Cambridge Analytica, ele disse: "Eu não estaria nessa situação. . . A verdade é que poderíamos ganhar muito dinheiro se rentabilizássemos o nosso cliente, se o nosso cliente fosse o nosso produto. Optamos por não fazer isso. Zuckerberg disse a Ezra Klein que ele achava que o comentário de Cook era “extremamente simplista”

Agora está claro que, mesmo após os avisos da Apple e a remoção da Onavo Protect, o Facebook ainda coletava dados de forma agressiva sobre seus concorrentes por meio da plataforma iOS da Apple. "Eu nunca vi um desafio tão aberto e flagrante das regras da Apple por um desenvolvedor da App Store", concluiu Strafach. 

Fonte: TechCrunch

Assista ao nosso último vídeo:
Inscreva-se no canal