Неделю назад я предупредил пользователей iPhone о том, что приложение Facebook продолжает собирать данные о местоположении, используя метаданные из ваших фотографий и IP-адрес, даже если в настройках вы выберете опцию «никогда» не отслеживать ваше местоположение. Facebook признает факт сбора этих данных, но при этом отказывается комментировать, почему это неправильно, если пользователи специально отключают функцию отслеживания местоположения.
Теперь специалисты в области безопасности данных неожиданно предупредили, что Facebook заходит еще дальше, используя акселерометр (устройство, помогающее смартфону определить положение в пространстве, а также расстояние перемещения. — Прим. ИноСМИ.) на вашем iPhone, чтобы непрерывно получать поток данных о ваших движениях. Эту информацию можно использовать, чтобы отслеживать ваши действия и поведение в любой момент дня, ваше местоположение и даже взаимодействия с различными приложениями и сервисами. Более того, эти данные даже могут «связывать» вас с людьми, находящимися рядом с вами, и неважно, знакомы вы или нет.
Как и в случае с данными о местонахождении, получаемыми из фотографий, главная проблема здесь заключается в полном отсутствии прозрачности. Вас никто не предупреждает, что эти данные собираются, и в настройках нет опции, которая позволяла бы включать или отключать отслеживание. Очевидно, возможности отключить эту функцию и помешать приложению Facebook следить за вами попросту нет.
Эксперты по сетевой безопасности Талал Хадж Бакри (Talal Haj Bakry) и Томми Миск (Tommy Mysk) предупреждают: «Facebook постоянно считывает данные акселерометра. Если вы запретите Facebook доступ к вашему местоположению, приложение все равно сможет определить ваше точное местоположение, просто сгруппировав вас с пользователями, соответствующими той же схеме вибрации, которую регистрирует акселерометр вашего телефона».
Эксперты утверждают, что это касается приложений Facebook, Instagram и WhatsApp, хотя в последнем эту функцию можно отключить, а представители этой платформы заверили меня, что все данные остаются на устройстве пользователя. «Что касается Facebook и Instagram, неясно, почему приложение считывает данные с акселерометра, и я не смог найти способ отключить эту функцию», — сказал мне Миск. Это значит, что вам попросту нужно удались приложение и заходить в Facebook через браузер.
В этом смысле Facebook оказался в странной ситуации. По словам Миска, он «протестировал TikTok, WeChat, iMessage, Telegram и Signal. Они такого не делают».
Поскольку Facebook занимает первую строчку среди приложений из категории «социальные сети», устанавливаемых на iPhone, эта информация затрагивает более миллиарда пользователей этих устройств по всему миру. Представители Facebook подтвердили, что используют «данные с акселерометра для таких функций, как „shake-to-report" (функция позволяет встряхнуть смартфон, чтобы связаться со службой поддержки WhatsApp и сообщить о проблемах с приложением. — Прим. ИноСМИ), и для поддержки функционала камеры, к примеру, для съемки панорамных фотографий».
«Хотя данные с акселерометра кажутся чем-то безобидным, — объяснил Миск, — вы поразитесь, узнав, во что приложения могут превратить эту информацию. Они способны считывать сведения о сердцебиении, движениях и даже точном местоположении пользователя. Что еще хуже, все приложения iOS способны считывать данные с этого сенсора без разрешения. Другими словами, заходя в приложение, пользователь даже не узнает, что оно уже измеряет его сердцебиение».
Хотя у использования камеры, возможно, есть масса очевидных плюсов, это не объясняет, почему ваши движения отслеживаются постоянно, а не только тогда, когда вы используете упомянутые выше функции камеры. Facebook было бы проще, если бы акселерометр включался, только когда это необходимо. Что касается функции «shake-to-report», приложение Facebook могло бы использовать функционал Apple, чтобы ограничить объем собираемых данных, но Facebook работает не так. По словам Миска, даже когда пользователи отключают функцию «shake-to-report», «если вы потрясете телефон, ничего не произойдет, но приложение продолжит считывать сведения с акселерометра».
Хадж Бакси и Миск приводят в качестве примера поездку на автобусе, объясняя, каким образом могут использоваться данные: «Если вы находитесь в автобусе и один из пассажиров делится своим точным местоположением с Facebook, приложение может легко определить, что вы находитесь в том же месте, что и этот пассажир. Ваши модели вибрации будут идентичны».
Если эти доводы кажутся вам сомнительными, то у Facebook уже есть патентная заявка на использование сигналов мобильного телефона для того, чтобы «связывать» незнакомых людей. В качестве пояснения компания приводит тот же самый пример с поездкой на автобусе: «Будет полезно предложить пользователям, которые встретились или, вероятно, встретились, возможность установить связь друг с другом, если они захотят». Помните, что вся эта информация существует не в изоляции и что многомиллиардная магия Facebook позволяет соединять множество точек данных между собой. Попросту говоря, вы уже знаете, как работают идеи о налаживании контактов с загадочными новыми друзьями.
«Мы протестировали несколько приложений, — объяснил Миск, — и оказалось, что Facebook и Instagram стоят особняком. Facebook считывает показания акселерометра постоянно, а Instagram — только когда пользователь пишет сообщение в директ. WhatsApp тоже по умолчанию считывает данные с акселерометра, чтобы на обоях в чатах отражалась активность пользователей. Это объединяет все три приложения, и возникает вопрос, сопоставляют ли они паттерны вибрации у различных пользователей. Получается весьма неприятная картина, и единственный способ положить этому конец — защитить этот ценный сенсор функцией разрешения».
Стоит помнить, что компания Facebook — это империя стоимостью в триллион долларов, выстроенная на данных — и только на них. Эта империя представляет собой не столько «метавселенную», сколько «вселенную данных». Если компания может использовать эту информацию в совокупности со всей информацией, которая у нее есть на вас и окружающих вас людей, она будет это делать. Зачем ей проявлять сдержанность?
Просто посмотрите на ярлыки конфиденциальности в приложении Facebook для iPhone: хотя значительная часть данных, собираемых Facebook, поступает с ее платформы и сервисов, сведения, которые она может получать от своего приложения, добавляют к смеси больше информации о третьих лицах. И все эти сведения привязываются к вашей личности, ничего не пропадает и не выбрасывается.
Джейк Мур (Jake Moore) из компании ESET предупреждает: «Простыми словами, это еще одно нарушение, которое оказывается незамеченным, когда речь идет о сборе большего количества личных данных с устройств iPhone. Многие, возможно, даже не задумываются, какие сенсоры есть у iPhone, не говоря уже о том, чтобы разобраться, какую выгоду эта информация может принести компаниям».
И снова возникает вопрос с разрешением. Если вы пользуетесь приложением Facebook на своем iPhone, вы фактически даете Facebook разрешение на доступ к данным и информации на вашем устройстве и о нем самом. Хотя вы можете частично ограничить доступ к этой информации, есть такие данные — как в случае с акселерометром, — о передаче которых вы не будете знать.
Миск и Хадж Бакри уже не впервые сталкиваются с подобными проблемами защиты конфиденциальности. Именно они обнаружили похожую уязвимость в iOS, затрагивавшую буфер обмена. В результате компания Apple изменила настройки и стала предупреждать о возможных последствиях — недавно разработчики Android 12 сделали то же самое.
Как и тогда, в нынешней ситуации компания Apple должна действовать. Акселерометр не должен быть общедоступным — только не тогда, когда гиганты, вроде Facebook, могут использовать его в качестве еще одной точки данных для подпитки своих алгоритмов, выстраивания профилей в соцсетях и отслеживания местонахождения и поведения.
«Все личные и уникальные данные должны рассматриваться как конфиденциальная информация, которую необходимо защищать, — сказал Мур. — Их считывание должно быть ограничено наряду с другими способами отслеживания данных, особенно если пользователям не было известно, что эта информация подвергается анализу». И в данном случае ключевую роль играет неосведомленность.
В этом году компания Apple проделала отличную работу, препятствуя злоупотреблениям данными со стороны таких гигантов, как Facebook и Google. Приложение Tracking Transparency уже оказало заметное влияние на доходы, в основе которых лежит использование данных. В системе iOS 15 мы уже увидели новшества, касающиеся защиты конфиденциальности данных. Теперь нам необходимо дождаться еще одного простого обновления, которое компании Apple необходимо разработать, чтобы положить конец этому очевидному злоупотреблению данными.