Facebook latami gromadził dane o naszych rozmowach telefonicznych i SMS‑ach

Aktualizacja Facebook przedstawił już oficjalną odpowiedź na te zarzuty. Więcej w naszym nowym materiale poświęconym tej sprawie.

Afera wokół CambridgeAnalytics może być tylko wierzchołkiem góry lodowej. Pojawiająsię dowody na to, że Mark Zuckerberg w swojej zachłanności nadane sięgał po wszystkie informacje o użytkownikach, jakie tylkomógł pochwycić, nigdy nie pytając ich o zgodę. Już poprzez samozainstalowanie aplikacji mobilnej Facebooka zamienialiśmy smartfon wurządzenie podsłuchowe, poprzez które największy serwisspołecznościowy planety dowiadywał się o nas rzeczy, którychnigdy Facebookowi ujawniać nie chcieliśmy – takie jak metadanerozmów telefonicznych.

Pewien mieszkaniec Nowej Zelandii, wiedziony podejrzliwością poostatnim wycieku danych, postanowił sprawdzić, co Mark Zuckerbergma na niego. Poprzez oferowaną przez Facebooka usługę pobieraniaswoichinformacji uzyskał plik ZIP – archiwum wszystkiego, co serwiso nim zgromadził. Szybko odkrył coś niepokojącego: w informacjachkontaktach znalazły się metadane połączeń telefonicznych z dwóchlat używania smartfonu z Androidem. Facebook miał daty, numerytelefonów, nazwiska, a nawet czas trwania rozmów. Jak pisałszpiegowany naTwitterze: w jakiś sposób jest tam cała historia rozmów zmatką mojej dziewczyny.

Downloaded my facebook data as a ZIP file Somehow it has my entire call history with my partner's mum pic.twitter.com/CIRUguf4vD

— Dylan McKay (@dylanmckaynz) March 21, 2018Podobne odkrycia zaczęlizgłaszać inni internauci – po przyjrzeniu się bliżej setkommegabajtów zgromadzonych o nich danych, odkrywali tam informacje,których nigdy Facebookowi nie udostępniali: logi połączeńtelefonicznych, a także metadane wiadomości SMS i MMS. Zaraz zaraz,skoro nie udostępniali, to skąd one się tam wzięły?

Odpowiedź tkwi w starymmechanizmieuprawnień Androida, wprowadzonym wraz z samym debiutem tegosystemu. READ_CONTACTS i READ_CALL_LOG pozwalały aplikacji naodczytanie odpowiednio listy kontaktów i logów połączeńtelefonicznych. Tyle że do API level 15 (system Android 4.0.3),jeśli aplikacja uzyskiwała uprawnienia do odczytania listykontaktów, automatycznie też otrzymywała uprawnienia do odczytanialogów połączeń telefonicznych.

Dopiero w Androidzie 4.1 Googlesię opamiętało i zakończyło ten fatalny stan rzeczy, obejść tojednak łatwo, wystarczy ustawić za cel kompilacji API level 15 lubwcześniejsze – i aplikacja wciąż będzie mogła uzyskiwaćdostęp do logów połączeń telefonicznych. Bez obaw: lekka wersjaaplikacji Facebooka (Lite) wciąż celuje w API level 9 (Android2.3), oficjalna pełna wersja aplikacji wciąż celuje w API level15, dopiero nowy Facebook Messenger korzysta z API level 25 (Android5.0). Google porzuciło wsparcie dla Androida 4.0 dopiero jesieniązeszłego roku, więc do tego czasu aplikacje kompilowane pod stareAPI, dziedzicząc stare uprawnienia mogły sobie swobodnie czytaćtakie dane. Dziwnym zbiegiem okoliczności wszystkie gromadzone przezFacebooka metadane urywają się właśnie w październiku 2017 roku.

Nie szkodzi, Mark Zuckerberg makolejny sposób na pozyskiwanie informacji. Wielu ludzi dało sięprzecież zwieść i zainstalowało Messengera zgadzając się nawszystko, o co aplikacja pyta na starcie. A prosi o wszystko – chcebyć klientem SMS-ów i MMS-ów, chce mieć dostęp do kontaktów ipołączeń telefonicznych. Wszystko po to, by żyło się namwygodniej, byśmy byli lepiej połączeni w jednej facebookowejrodzinie.

Naprawdę, to nie my wymyśliliśmyto wyjaśnienie. Rzecznik Facebooka stwierdził: *najważniejszączęścią aplikacji i usług, które pomagają w nawiązaniukontaktów jest ułatwienie znalezienia ludzi, z którymi chcesz siępołączyć. Tak więc jest powszechnie stosowaną praktyką, bypodczas pierwszego logowania się na telefonie do aplikacjispołecznościowej czy komunikatora wgrać kontakty użytkownika.*Rzecznik podkreślił zarazem, że wgranie tych kontaktów jestopcjonalne, aplikacja prosi o zgodę na dostęp, a później Facebookoferuje możliwość usunięcia tych danych poprzez ustawienia nastronie internetowej.

Z tego co donoszą internauci –faktycznie, usunięcie danych o kontaktach jest możliwe. Jednakmetadane pozostają, podczas kolejnych pobrań paczki danych przezusługę Facebooka wciąż można znaleźć je w pliku ZIP.

Co z tym wszystkim zrobić?Optymalnie byłoby całkowicie odciąć się od Facebooka, jak tozrobił np. ostatnio ElonMusk. Nie dla każdego będzie jednak to możliwe. Pozostaje więcpilnować, by aplikacje Facebooka nie miały żadnego dostępu donaszych danych na smartfonie, przynajmniej na Androidzie. iOS okazałsię bowiem zapewniać znacznie wyższą prywatność – poprzezlistę kontaktów Facebook nie zdołał wydobyć z iPhone’ówmetadanych rozmów telefonicznych.

A jeśli na Androidzie chcecieczuć się naprawdę bezpieczni przed Zuckerbergiem, pozostajerozwiązanie dla śmiałków: uzyskanie roota, zainstalowanieframeworkaXposed, a następnie wtyczki Xprivacy.