互相競爭和合作在科技公司之間是常有的事,不過全世界最大規模的科技公司同時因為一件事情上了新聞,還真是一件罕見的事。就在1月下旬,Facebook和Google的內部iPhone App突然都無法使用,造成員工一片混亂;而這件事背後的原因,更引發外界的議論。
許多大公司都有開發員工專屬的App,讓員工在上班時更方便、更有效率。例如許多公司就有提供園區內的叫車服務、午餐訂購,和其他各式各樣的App。但除了讓員工在公司內生活更方便之外,許多開發手機App的公司,也會在App版本更新,或是新的App上市之前先提供員工使用, 除了測試App的穩定性之外,也檢測有沒有程式漏洞。Facebook和Google的內部App也是如此,著名的Instagram、Chrome和Facebook手機App,都需要經過員工測試、確認品質正常之後,才會正式發行。
那為什麼在1月底,iPhone上的Facebook和Google公司內部App突然不能使用,但在安卓的手機上卻可以照常運行呢?
這是因為蘋果的iOS和安卓作業系統,在App的授權上有很大的差別。雖然安卓用戶大都是從Google Playstore, 下載經過Google授權的App,但你也可以透過下載第三方APK封包的方式,自行安裝未被Google授權的APP。相較之下,蘋果的用戶卻沒有這種下載程式的自由,他們無法經由第三方任意下載任何App,每一個可以在iPhone上運行的App,都必須經過蘋果授權之後,才能在App Store上下載。
我們在過去的節目中曾經提到,任何應用程式運行在一個作業系統上,都會透過作業系統提供的API介面來完成許多功能。因此,蘋果在認證App的時候,除了確認他們正確使用iOS作業程式的API介面,不會有品質上的問題之外,另外還要確保程式開發商不會利用這些App做不正當的事情。
什麼是「不正當的事」呢?舉例來說,當一個App使用網路介面的API,利用獲取資訊的過程得知用戶的所在位置,就是不當行為。如果APP(或程式開發商)想要獲取用戶的所在位置,應該要透過平台上的位置API,而不是從其他的API介面旁敲側擊使用者的位置。因為,用戶在下載及使用任何一個App的時候,都會勾選同意讓App獲得某些個資及隱私,例如照片、所在位置、聯絡資料…等等;如果App用其他方式,獲得未經用戶同意提供的資料,就有欺騙或竊取的嫌疑。
不過,許多公司開發了App的目的,就是為了收集使用者的資料。Facebook就曾經開發過一個叫做Research的App,用來收集使用者手機和網路活動的資料,包括照片、訊息、網路瀏覽紀錄…等,都會被蒐集並回傳Facebok。但類似的App在去年被蘋果從App Store移除,因為蘋果斷定這類的App收集太多使用者的資訊,有違反個人資安的風險。也就是說,Facebook 無法透過 App Store 來上架這一款 App,於是 Facebook 利用了企業開發者項目的身分(Enterprise Developer Program,簡稱EDP),繞過了蘋果的審核。
通常EDP是讓與蘋果合作的公司,可以開發給員工測試的 App,一般來說只允許員工下載,所以不需要經過蘋果的審核。但正是因為不用經過審核,所以遭到了Faecebook 的非法利用。
除了Faecebook之外,Google也被發現違反了企業特別授權的使用者條例,繞過蘋果審查,讓非員工身分的一般用戶,安裝未經蘋果授權的App,並利用這些App收集使用者的資訊,以及他們上網的紀錄。
而Facebook更進一步用金錢利誘,每個月支付一小筆金額給特定用戶,大概幾十塊美金左右,讓他們安裝Facebook Research App,藉由App要求用戶完全開放手機網路權限。這項舉動非同小可,這表示安裝了這個App之後,Facebook可以看到這名使用者手機上全部的網路封包,甚至加密過的封包都可以被解碼。
1月底蘋果發現這件事之後,馬上取消了Facebook和Google企業授權的認證,但因為這兩家公司所有給員工使用的內部App,都是透過同一個認證,因此所有內部測試用的App也同時遭到停用,包括午餐訂購、叫車的App都無法使用,造成Facebook和Google員工生活大亂。
你可能覺得,這些程式開發商獲取你的所在位置或上網紀錄等個資,對你似乎沒什麼影響,不過請試著想像一下,當你使用手機或平板的時候,你的所有個資、一舉一動完全被Facebook Research App記錄下來,除了少數端對端的加密服務,例如iMessage、WhatsApp等,內容無法被破解之外,其他紀錄都一覽無疑。你的手機就像衣服被脫光光,赤裸裸的任由Facebook獲取任何它想要的資訊。
即便Facebook宣稱,雖然安裝這些App違反了與蘋果的協議,但卻沒有違法,因為在安裝App之前,使用者都有簽定同意書;如果使用者尚未成年,在同意書上面也有明文規定需要獲得父母同意。但這樣的回應其實非常不負責,因為大部分的使用者,都是因為貪圖Facebook每個月支付的費用而安裝這個App,加上使用者同意書寫得密密麻麻,很少有人真的詳細閱讀,了解這些App到底想幹嘛;而且雖然同意書裡面的確有提到未成年人需要獲得父母同意,但這只是文字描述而已,沒有任何實質上的要求,未成年人只要打個勾,按「下一步」即可繼續安裝,大部分的使用者應該都不知道自己有多少個資因此外洩。
雖然Facebook和Google在消息曝光後,立即停止這些App運作,但這件醜聞還是令人震驚,讓Facebook已經不良的企業形象更是雪上加霜。
以金錢換取使用者個資已經夠糟,根據新聞報導,Facebook Research App主要針對未成年使用者,希望藉此獲取更多青少年和兒童的使用習慣。以目前尚不完備的科技法律來說,Facebook的行為屬於灰色地帶,並沒有明顯違法,然而如果使用這個App的用戶裡有歐洲人的話,Facebook已經違反了歐盟GDPR 的規定,一定會受到嚴重的制裁。美國多位議員也表示,Facebook針對未成年人的行為實在不可饒恕,要針對這次的事件制定新的法律來保障使用者。
在過去一年來,已經發生許多起個資外洩引發的犯罪新聞,但每次的檢討總是雷聲大雨點小,希望議員的挺身而出大聲疾呼,不只是為了媒體曝光和獲得選票,更希望這次的醜聞,能讓美國政府重視網路安全問題,並且積極立法。
在數位時代,每個人的個資就跟我們真實的財產和權利一樣,千萬別輕視個資和隱私的重要性。除了Facebook和Google之外,還有許多企業,正透過各式各樣的方式,甚至是用金錢換取或詐騙個資,在此呼籲,請你不要因為金錢誘惑或大意,提供這些非常私密的資訊給其他團體,否則在這個科技快速進步的時代,個資外洩之後的造成的損失和傷害,可能超乎你的想像。
轉載自2019.2.7 1號課堂《矽谷Talk》
