Facebook платит $20 в месяц за установку своего псевдо-VPN



    Многие читатели Хабра не верят, что на продаже своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц, как сказали эксперты ФРИИ. Но последний скандал с Facebook показывает, что эта оценка имеет право на существование. Оказалось, что Facebook уже более двух лет ведёт секретный проект Atlas, в рамках которого платит людям до $20 в месяц за установку на смартфон фирменного псевдо-VPN. Оно устанавливает корневой сертификат и отслеживает действия пользователя.

    Журналисты TechCrunch провели расследование и выяснили, что этот псевдо-VPN основан на коде приложения Onavo Protect, которое Apple запретила распространять через App Store в августе 2018 года. После этого Facebook выпустил новое приложение Research, которое по сути выполняет такие же функции.



    Приложение Facebook Research VPN обходит запрет Apple на определённые типы слежки, выдавая себя за бета-версию приложения и распространяясь сервисы Applause, Betabound и Utest, пишет TechCrunch. Приложение поставляется с рутовым сертификатом, позволяя перехватывать «личные сообщения в социальных медиа, чатах в приложениях для обмена мгновенными сообщениями, включая фотографии/видео, отправленные другим, электронные письма, веб-поиск, просмотр веб-страниц и текущую информацию о местоположении».

    Пока неизвестно, какие из перечисленных данных реально собирает приложение. Facebook подтвердил, что использует приложение для «сбора данных о привычках использования».

    В проект под кодовым названием Project Atlas приглашают пользователей в возрасте от 13 до 35 лет. Для получения вознаграждения они должны держать активным VPN-соединение и отправлять данные в Facebook.



    Собранные данные потенциально могут помочь Facebook более точно профилировать всех пользователей, связывая поведение в онлайне и использования других приложений с выбором покупок: среди прочего, пользователей просят делать скриншоты своих заказов на Amazon. Эта информация может быть использована также для таргетинга рекламы.



    Технический анализ приложения по заказу TechCrunch выполнили специалисты компании Strafach. Они подтвердили, что данные из программы отправляются на адрес vpn-sjc1.v.facebook-program.com, связанный с IP-адресом запрещённого приложения Onavo, а домен facebook-program.com действительно зарегистрирован на Facebook.

    Приложение может обновляться без взаимодействия с App Store и связано с адресом электронной почты PeopleJourney@fb.com. Также проверен цифровой сертификат: Facebook продлил его 27 июня 2018 года — через несколько недель после того, как Apple объявила о своих новых правилах, запрещающих аналогичное приложение Onavo Protect.

    «Сложно сказать, какие данные на самом деле собирает Facebook (без доступа к их серверам). Можно только на основе кода в приложении определить, к какой информации они получают доступ, — объясняют специалисты Strafach. — И это рисует очень тревожную картину. Они могут утверждать, что сохраняют только очень конкретный ограниченный набор данных, и это может быть правдой, но в реальности всё сводится к тому, насколько вы доверяете их словам. Самым снисходительным описанием этой ситуации было бы то, что Facebook не слишком задумывался об уровне доступа, который они требуют для программы… что само по себе является поразительным уровнем небрежности, если это так».

    На странице BetaBound указано, что за работу приложения пользователи поощряются подарочными картами на сумму $20 в месяц. Кроме того, по $20 платят за каждого привлечённого друга.

    В официальном комментарии представитель Facebook подтвердил, что компания использует программу, чтобы узнать, как люди используют свои телефоны и другие услуги: «Как и многие компании, мы приглашаем людей участвовать в исследованиях, которые помогают нам определить, что мы можем сделать лучше. Поскольку это исследование направлено на то, чтобы помочь Facebook понять, как люди используют свои мобильные устройства, мы предоставили обширную информацию о типах данных, которые собираем. Мы не предоставляем эту информацию третьим лицам, а люди могут в любое время прекратить участие в проекте».

    Facebook заявил, что приложение не нарушает правила Apple Enterprise Certificate для iOS.
    Поддержать автора
    Поделиться публикацией

    Комментарии 51

      +27
      Если они не скрывают от людей привлечённых к исследованию то, что все их действия будут анализироваться, то не вижу из-за чего шум. Многие интернет компании платят пользователям за то, что будут следить за всей их активностью, для исследования по паттернам проведения и таргетировния рекламы.
        +9
        Наверняка не скрывают и пишут. Мозголомными юридическими формулировками, восьмым шрифтом на пятнадцатой странице EULA.
          +7
          Абсолютно не обязательно, это же обычный метод исследования аудитории.

          На прошлой работе, к нам приезжал с лекцией интересный дядька, который до этого работал в Яндексе. Он рассказывал, что там время от времени набирают людей для таких исследований, им ставят такого «трояна» на комп и он собирает полную информацию о всех их действиях, на какие сайты ходят, как мышкой двигают и тд тп. Еще можно вспомнить самую обычную аналитику, о которой тут подняли мощную волну, когда нашли ее в приложении Бургер Кинга.

          Но если подать под нужным соусом и добавить истеричных ноток — то людей не в теме, моментально срубает припадок паранойи.
        0
        Как только поднимется достаточная шумиха приложение быстро свернут и закроют.
          0
          Как я вижу уже закрыл Apple techcrunch.com/2019/01/30/apple-bans-facebook-vpn
            0
            Facebook хорошо влетел с этой блокировкой. Им отозвали Enterprise сертификат всей компании и все iOS приложения для внутренний нужд Facebook перестали работать.
            Такое же приложение для слежки нашли у гугла. Посмотрим как быстро и его заблокируют.
              0
              Update: Facebook later confirmed to TechCrunch that its internal apps were broken by Apple’s punishment and that it’s in talks with Apple to try to resolve the issue and get their employee tools running again.
                0
                Конечно он будет говорить с Эпплом, чтобы назад разрешили, им поломали все их девелоперские приложения этим.
            +7
            Рутовый доступ? Вы действительно настолько не понимаете технической части того, о чём пишете?
              0
              А вы действительно статью читаете, прежде чем комментировать? Там идёт речь про «рутовый сертификат» (хотя в русском языке данные сертификаты чаще называются «корневыми», да), а не про «рутовый доступ».
                +10
                в тексте статьи, чёрными пикселями по белым:
                Оно получает рутовый доступ и отслеживает все действия пользователя.
                  +2
                  Это опечатка, на самом деле рутовый сертификат. Прошу прощения.
                    +3
                    Это опечатка
                    Палец соскользнул?)
                      –1
                      И не один и по много раз)
              +24
              I'm not gay, but $20 is $20.

              Ведь под такую затею можно и отдельный телефон держать! А то и несколько:)
                +4
                Ну не будет на них активности — исключат вас из программы. А за 1400 в месяц возиться с отыгрыванием бурной жизни в телефоне есть ли смысл?
                  +3
                  А если так? <на правах фантазии>
                  www.youtube.com/watch?v=bFgO-C2TAV8
                    +4
                    У меня стоит на втором телефоне на котором нет активности, 9 месяцев, денежки капают. Да, и платят не 20 долларов, а 30.
                      0
                      Туда и Android подходит? Не поделитесь ссылкой где можно податься туда? Буду признателен, у меня старых телефонов много.
                        0
                        У меня второй телефон nexus5.
                        Заполнял я здесь, они потом присылают, что делать.
                        Мне правда ответили спустя месяца 3.
                        UPD. Проверил ссылку написано: «The form Applause Tests — Participants Needed for Social Media App Testing is no longer accepting responses.» Хотя недавно работала.
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Ну, некоторые ради $20 убивают десятки часов в месяц на разгадывание капчей…
                      $0,5 за 1-2 часа, в зависимости от загруженности сервиса.
                      2captcha.com/ru/make-money-online
                        +1
                        С сайта:
                        Вознаграждение
                        $0.17
                        За 1000 обычных капч

                        3000 капч за час — это чуть меньше одной в секунду.
                      0
                      Так подарочными сертификатами же. Неизвестно на что их можно потратить, можно только на то чтобы купить рекламу у ФБ )
                      +3
                      русский пытливый ум сразу советует установить сие ПО сразу на 10 смартфонов, подключить их к зарядке, положить в ящик и доставать чтобы снять деньги
                        +3
                        Думается, что это программа не для всех. Примерно как есть специальные пользователи ТВ.
                          0
                          Нечистые на руку сервисные центры могут озолотиться…
                          +6
                          Желтее не бывает.
                          5000р не 20$.
                          Не за бедных пользователей из РФ, а за более платеже способных, которые дороже.
                          Не для всех, а для очень ограниченно исследовательской группы.
                          Не рутовый доступ, а один из рутовых сертификатов.
                          Рутовый сертификат по умолчанию не позволяет перехватывать данные пользователя, зависит от приложения, я не уверен, но полагаю, что приложения обмена данными между пользователями не полагаются на рутовые сертификаты. Скорее всего «уязвимость» касается только браузера, да и то к нему нужно еще как-то проксирование прикрутить.

                            +9
                            Желтее не бывает.

                            Вы недооцениваете Alizar'а.
                              +1
                              Если это VPN, то прикручивать особенно ничего не надо. Пользователь и так через VPN пойдёт на свой защищенный сайт. С внедренным корневым сертификатом владельцы VPN могут легко и прозрачно для пользователя проксировать его защищённый трафик, читая его.

                              Собственно, я не знаю, зачем ещё им мог потребоваться свой корневой сертификат.
                                0
                                Там не всё так просто. При https трафик шифруется как пользователем так и сервером. А попытка подмены (когда vpn расшифровывает трафик и потом шифрует своим ключом/сертификатом) приводит к тому что соединение сбрасывается. Впн при прослушивании может получить только открытый ключ, для того чтобы зашифровать, а не расшифровать трафик.
                                  0
                                  Если именно проксировать, то не сбрасывается. Работает так:

                                  — пользователь обращается на vk.com, у которого сертификат GlobalSign и адрес 87.240.129.133

                                  — VPN перенаправляет на свой прокси с со своим сертификатом, который заверяет адрес прокси как «vk.com»

                                  — поскольку у пользователя стоит корневой сертификат от владельцев прокси, то сертификат прокси проходит проверку и пользователь устанавливает соединение без ошибок

                                  — прокси принимает данные от пользователя, делает с ними что хочет, затем устанавливает уже собственное соединение с реальным vk.com и передаёт на vk.com данные.

                                  Пользователь может заметить подмену, если пойдёт в свойства соединения, посмотрит сертификат и увидит, что там не GlobalSign, а некий Facebook Research. Но каких-то других предупреждений и ошибок не будет. Вот если бы корневого сертификата от прокси не было, то вышло бы так как вы описали.

                                  Впрочем, опять таки надо понимать, что само по себе подобное поведение — не криминал. Так работают SSL прокси, используемые с целью отладки или в некоторых корпоративных сценариях. Как я уже писал, если пользователь согласен на анализ своего поведения в Сети и понимает возможные последствия, то это его личное дело.
                                +1
                                5000р не 20$
                                Вот мне тоже сразу стало интересно где сейчас доллары по 250 рублей стоят. С учетом того что я знаю где их купить за ~65 можно было бы неплохо заработать.
                                  +1
                                  Покупайте сейчас, продадите в будущем, если вы конечно не чувак с долларами.
                                +5
                                Подарочные карты на 20$ — это типа я могу где то в определенном месте купить что-то не нужное на 20$? Так не интересно. Я так не играю.
                                  +1
                                  А если неповезет, то эти 20$ еще и не смогут покрыть 100% покупки.
                                    0
                                    Скорее всего там Amazon сертификаты дают, их потом можно продать с небольшой комиссией.
                                    +5
                                    REQUIREMENTS
                                    Must live in the United States
                                    Must have an Android or iOS smartphone
                                      +5
                                      $20 не равно подарочной карте на $20, потому что на $20 я могу купить почти 20 литров молока, а на подарочную карту фейсбука можно купить… э… пикселы на экране в игрушке?
                                        +6
                                        Можно купить молока на виртуальной ферме :)
                                          +1
                                          На самом деле есть варианты «обнала», когда подарочная карта продается за реальные деньги, правда, ниже ее номинала. Т.е. по факту заработок будет в районе $10. Смысла участвовать ноль.
                                            +2
                                            Каждая компания мечтает платить вам деньгами, которые рисует сама (с) :)
                                          +1

                                          И никаких ключей шифрования у телеги не просит. И с дядюшкой Сэмом сотрудничает.

                                            0
                                            Если честно, не вижу особенного повода для шума.

                                            Первая ассоциация — с пиплметрами/ТВметрами (устройствами, которые подключают к телевизорам для анализа аудитории, составления рейтинга каналов). Как там телезрители добровольно за небольшое вознаграждение разрешают отслеживать свои телепривычки, так и тут — только здесь собирается информация о поведении в Сети и использовании мобильного устройства.
                                              0
                                              Вот так всегда, хочешь написать что-то умное, уже поднял руку, а за тебя уже написали. Остаётся только изо всех сил согласиться. +100500
                                              +1
                                              Многие читатели Хабра не верят, что на продаже своих персональных данных россияне могут зарабатывать до 5000 рублей в месяц, как сказали эксперты ФРИИ.

                                              Вам тут не там!
                                              И тут такие приложения, но без оплаты существуют.

                                                0
                                                Интересно, как скоро появится приложение «Гороховое пальто»?
                                                Которое будет требовать root права и будет записывать и отсылать всё что возможно, включая записи разговоров, фотографии с GPS метками, скриншоты экрана во время общения в месенджерах и так далее, а за это например освобождаешься от налогов или части налогов.
                                                Или такое уже есть?
                                                  +7
                                                  В Китае есть, только без освобождения от налогов и прочей лабуды.
                                                    0
                                                    Почти любое китайское приложение запрашивает все возможные разрешения при установке. И отказывается работать без них. Так что да, недалеко от истины.
                                                    0
                                                    Алиса?
                                                    0
                                                    Заголовок жёлтый. Не платят они 20$, потому что это не реальные деньги, которые можно потратить на что угодно. Они платят подарочными купонами номиналом в 20$, за которые можно купить то, что одобрил Facebook. Это огромная разница.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое