导语:12月29日,Privacy International在35C3网站提交了一份报告,报告称Facebook正通过几十款主流Android应用程序收集其社交网络的非用户数据,其中一些应用包括:Kayak,Yelp和Shazam。

12月29日,Privacy International在35C3网站提交了一份报告,报告称Facebook正通过几十款主流Android应用程序收集其社交网络的非用户数据,其中一些应用包括:Kayak,Yelp和Shazam。

报告称:

Facebook会定期通过Facebook商业工具追踪其平台之外的用户,包括非注册用户和退出登录的用户……这些Android应用的开发者通过Facebook软件开发工具包(SDK)与Facebook共享数据。

Privacy International检查了34个Android应用程序,每个应用程序的安装基数在1000万到5亿之间。调查发现这些应用会通过SDK将数据传输到Facebook。与Facebook共享的数据因应用程序而异,比如Kayak会向Facebook发送其应用中所有的搜索数据,而King James Bible则会透露用户查看过的文章信息。

研究人员称,大多数应用程序共享的数据包括应用程序的使用时长、打开和关闭的时间、Android设备类型以及根据语言和时区设置推断出的用户位置等。

部分与Facebook共享的敏感数据涉及到应用程序本身的使用情况,包括女性经期追踪器、祈祷应用、求职应用和适合儿童使用的应用程序。而另外一些应用程序与Facebook共享的信息包括:用户评级、会话ID和一些其他的数据。

Privacy International指出,Facebook只是数百家跟踪用户信息的公司中的一家,这些公司会收集网络营销公司使用的数据,通过将用户信息收集在一起,来创建大量用户数字档案。Facebook是仅次于谷歌的第二大互联网跟踪公司。

Privacy International研究员Frederike Kaltheuner表示:

我们专注于Facebook,而不是谷歌或任何其他跟踪公司的原因是因为Facebook收集的某些应用的行为——比如经期追踪器或LED手电筒,简直是出人意外。而且,对那些有意不使用Facebook上的人,他(她)的信息可能也在无意间被收集了。

Privacy International对这34个应用程序的检查后发现有近六成的应用程序会在用户打开应用程序时自动将数据传输到Facebook,有些应用程序则会定期向Facebook发送详细数据。可以在Privacy International网站上找到对各个应用程序的分析。

Kaltheuner表示,

显然,我们只能看到应用程序传输的数据。然而,我们不能确定这些数据是如何被使用的。

Privacy International研究员Christopher Weatherhead表示,此次研究的重点不应归咎于应用程序开发商,其本意并不是来批评开发者的开发方式的,而是在于SDK以及它传输数据的方式(无论用户是否同意)。

Facebook SDK for Android有很多用途。它允许开发人员将他们的应用程序与Facebook的平台集成,也能为开发人员提供了许多有用的组件,例如用户分析,显示广告,以及是否允许用户使用其Facebook ID登录的服务。

当Privacy International向Facebook询问其SDK的使用时,Facebook指出开发人员负责配置应用程序以共享或不共享数据。

Kaltheuner说:

在SDK与Facebook共享数据之前,作为数据控制器的开发者必须得到用户的同意,这是Facebook的法律和合同义务。

面对Privacy International的质疑,Facebook发言人回应说:

Facebook的SDK工具意味着开发者可以根据自己的具体情况,在获得用户同意后,选择是自动收集、完全不收集、或者延迟收集应用事件。我们亦要求应用开发商能确保有适当的法律基础收集和处理用户的资料。最后,我们为开发人员提供如何在这方面遵守我们的要求的指导。

但是,Facebook向Privacy International承认,大多数开发人员都使用了SDK的默认设置,也就是在应用程序一启动就分享数据。从今年5月开始,这种行为在开发人员中引发了愤怒,当时他们被迫遵守新的通用数据保护法规,该法规要求在收集用户数据之前获得明确和明确的许可。

作为回应,Facebook于6月在其SDK中发布了一项新功能,延迟了所谓的“自动事件记录”,使开发人员可以更灵活的关闭该功能或请求用户收集数据的权限。然而,即使Facebook做出了更改,SDK仍然会发送一个信号,表明在打开各个应用程序时SDK已经初始化——即使关闭了SDK数据共享。

Kaltheuner说:

SDK初始化的信号,就是数据,这些数据告诉Facebook用户使用什么类型的应用程序,以及使用的时间,根据隐私国际(privacy International)的说法,这些数据收集是否符合GDPR和其他隐私法律,仍是一个悬而未决的问题。

Privacy International呼吁Facebook做出进一步改变,并呼吁开发者提高意识,尽可能少的传送所需数据,让人们在收集数据方面有更多选择。开发者并不应该遵照默认设置,而且无论什么时候,都要展示数据收集的透明性。

应用程序开发者对Privacy International研究的反应各不相同。

Kaltheuner说:

有些人给我们的印象是,他们并没有完全理解SDK以及SDK是做什么的,另一些人声称对他们的作为在法律上可以有截然不同的解释。其他人并没有真正意识到这一点,并承诺会更新他们的应用程序。

接到通知后,两个应用程序——Skyscanner和IBM的天气频道(The Weather Channel)——同意立即更改它们对Facebook SDK的使用。

源链接

Hacking more

...