Apple и Facebook: любопытство — не порок?

Прямые конфликты крупных игроков информационного рынка всегда вызывают интерес. Не стал исключением и, пожалуй, главный сюжет закончившейся недели — отзыв компанией Apple Enterprise-сертификата разработчика у Facebook. Enterprise-сертификат позволяет тем, кто их приобрёл распространять приложения, разработанные, например, для внутреннего использования в больших компаниях. Понятно, что размещать такие приложения в общедоступном AppStore нежелательно – анализируя файл приложения, потенциальные злоумышленники могут узнать что-то лишнее об инфраструктуре компании.

Основной источник информации о происшедшем — серия публикаций в интернет-издании TechCrunch. Из статей в TechCrunch мы узнали, что компания Facebook распространяла в обход Apple AppStore приложение Facebook Research. Этот инструмент, не будь он разработан в Facebook, был бы однозначно классифицирован как Spyware. При этом Facebook ещё и приплачивал за установку этого приложения по 20 долларов в месяц. По специальному VPN компания получала регулярные данные об онлайн-активности тех, кто установил Facebook Research, а в качестве целевой аудитории были выбраны люди в возрасте от 13 до 35 лет. От несовершеннолетних для установки приложения требовалось согласие родителей. Отдельного внимания заслуживает и то, что Facebook выбрала в качестве каналов распространения своего приложения платформы Applause, BetaBound и uTest, потому что предоставляемый Apple сервис Apple's TestFlight ограничивает тираж бета-версии 10 тысячами клиентов. Сама исследовательская программа началась ещё в 2016 году. Помимо прочего, в приложение входил и TLS-сертификат, который устанавливался в список доверенных. Это позволяло компании расшифровывать зашифрованный трафик, фактически осуществляя атаку Man-in-the-Middle.

Сертификат разработчика позволяет подписывать приложения электронной подписью. Запустить неподписанные приложения в экосистеме iOS невозможно, поэтому приобретают такие сертификаты все, кто планирует разработку под эту платформу. Соответственно, отзыв сертификата привёл к невозможности запуска на «яблочных» устройствах всех непубличных приложений от Facebook, включая предварительные версии официальных приложений. Публичные приложения от отзыва не пострадали. По мнению Apple, сертификат, выданный Facebook, можно было использовать исключительно для подписи корпоративных приложений, а массовое тиражирование условиями лицензии не было предусмотрено. В официальном заявлении сообщалось о том, что точно так же будет отозван сертификат любого нарушителя. В изложении Facebook нарушения условий лицензирования не было, а приложение было отозвано добровольно.

В публикациях, рассказывающих про Facebook Research, есть упоминание и про историю VPN-сервиса Onavo, приобретённого Facebook несколько лет назад. Приложение для работы через Onavo было удалено из Apple Store в середине прошлого года. Onavo позволяло пользователям уменьшить свой цифровой след для всех, кроме Facebook. А Facebook, в свою очередь, получал больше информации о привычках клиентов. В частности, к исследователям Facebook уходили данные о том, включён ли экран, какими WiFi-сетями пользуется телефон и прочая информация довольно интимного характера. В июне 2018 года политикой Apple приложениям было запрещено собирать информацию об использовании других приложений, и Onavo был изъят из Apple Store.

Но с отзывом сертификата Facebook история не закончилась. Так как работоспособность внутренних приложений Facebook была нарушена, то компания была вынуждена пойти на переговоры с Apple. Уже через двое суток внутренние приложения снова функционировали. Трудно сказать, насколько дорого обошёлся Facebook урок, преподанный Apple. Утверждается, что работа офиса компании в период недоступности приложения была существенно дезорганизована.

Вслед за Facebook, однако, наступила очередь Google. Приложение Screenwise Meter, функции которого были в чём-то аналогичны Facebook Research, тоже признали persona non grata в экосистеме Apple, после чего последовал отзыв сертификата, выданного Google. Там, однако, ущерб от неработоспособности внутренних приложений оказался не так велик — в конце концов, в «корпорации добра» iOS распространена существенно меньше, чем Android. В Twitter тем временем уже сообщили, что аналогичные нарушения — распространение приложений в обход AppStore, опираясь на Enterprise-сертификат — числятся и за Amazon, и за более мелкими компаниями. Так что возможно, мы ещё увидим продолжение этой истории.

Непонятно, как во всей этой истории соотносятся между собой конкуренция за данные пользователей между крупнейшими игроками, страх публичного скандала и реальная защита интересов обычных пользователей. Но то, что противостояние крупных игроков вокруг данных и privacy, пусть и фрагментарно, стало доступно широкой публике — признак того, насколько современное общество нервно относится к вопросам доступа к личным данным.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку