Una nuova grana si abbatte sul capo di Facebook, ancora una volta per una questione che riguarda le modalità di raccolta dei dati. Si parla oggi di un programma denominato Research, condotto in modo pressoché silente fin dal 2016, coinvolgendo un gruppo di persone con età compresa fra 13 e 35 anni: a loro sono stati offerti benefit mensili da un valore massimo di 20 dollari, sotto forma di gift card, per installare un’applicazione (mediante sideload, non attraverso gli store di Apple e Google) in grado di concedere all’azienda l’accesso alle informazioni presenti nel dispositivo.
Facebook, il programma Research
Stando a quanto trapelato sulle pagine di TechCrunch, tra le altre cose Facebook avrebbe chiesto ai partecipanti di catturare uno screenshot della pagina che riassume gli acquisti effettuati sull’e-commerce di Amazon. L’intera iniziativa sarebbe stata portata avanti con l’intermediazione di servizi esterni come Applause, BetaBound e uTest, così da rendere meno evidente il coinvolgimento diretto della società di Menlo Park. Si fa inoltre riferimento al programma con il nome in codice Project Atlas, appellativo già usato per le indagini condotte dal social al fine di rilevare le tendenze emergenti in tutto il mondo.
In seguito alla pubblicazione del report odierno, l’azienda ha comunicato che interromperà l’attività di Research destinata agli utenti iOS, al momento non è chiaro se per via di una violazione delle policy dettate da Apple relative al trattamento dei dati. L’app continuerà invece a operare senza alcun cambiamento su Android.
Le informazioni raccolte
Will Strafach, esperto di sicurezza del team Guardian Mobile Firewall, ha analizzato il software concludendo che in seguito all’installazione Facebook è in grado di accedere a messaggi privati scambiati sui social o nelle chat, ai contenuti come immagini e video inviati, alle email, alle ricerche online, all’attività Web e alla cronologia dei luoghi visitati rilevati dai sistemi di localizzazione. Ad ogni modo, al momento non ci sono prove concrete che tutti i dati in questione siano stati trasmessi e immagazzinati dal gruppo.
La fase di reclutamento degli utenti è passata da campagne di advertising attuate su social e piattaforme come Snapchat e Instagram, indirizzate esplicitamente a persone di età compresa fra i 13 e i 35 anni, come mostrato negli screenshot di seguito.
Una volta interagito con l’inserzione, l’utente si trova di fronte a una pagina che chiede l’autorizzazione di un genitore nel caso in cui l’età sia inferiore ai 17 anni, per poi procedere al download vero e proprio dell’app da installare, dai server del dominio “r.facebook-program.com”.
Onavo e la gestione dei dati
Vengono dunque sollevati giustificati timori, richiamando alla mente le discussioni intavolate quando nel 2013 Facebook annunciò l’acquisizione di Onavo e della sua soluzione VPN, ancora oggi distribuita su Play Store e bandita invece da App Store. Una mossa risultata poi di fondamentale importanza per analizzare le modalità di utilizzo delle applicazioni, da qualcuno ritenuta decisiva per arrivare pochi mesi dopo a investire 19 miliardi di dollari nell’acquisto di WhatsApp, intravedendone (a ragione) il potenziale in termini di crescita.
Le informazioni raccolte mediante il programma Research vengono spedite dall’applicazione a “vpn-sjc1.v.facebook-program.com”, destinazione con indirizzo IP associato a Onavo. Dall’analisi del codice, inoltre, sono stati trovati parecchi riferimenti a Onavo: “onavoApp://”, “onavoProtect://” e così via. Facebook afferma che i due progetti sono indipendenti l’uno dall’altro, precisando però che ad occuparsene è lo stesso team.
La posizione di FB
La posizione di Facebook a proposito del programma Research e dei dati raccolti è riassunta in una dichiarazione affidata da un portavoce del social network alla redazione del sito TechCrunch.
Come molte altre aziende, invitiamo gli utenti a partecipare a una ricerca che ci aiuta a identificare ciò che possiamo migliorare. Siccome questa iniziativa è finalizzata ad aiutare Facebook a capire come le persone utilizzano i loro dispositivi mobile, forniamo informazioni dettagliate a proposito della tipologia dei dati che raccogliamo e sulle modalità di partecipazione. Non condividiamo queste informazioni con altri e gli utenti possono interrompere la loro partecipazione in qualunque momento.
Lo stesso portavoce afferma inoltre che l’iniziativa non costituisce una violazione della policy definita da Apple in merito all’Enterprise Certificate, il certificato ottenuto da Facebook per la distribuzione del software. Analizzando il documento, però, si apprende come applicazioni di questo tipo possano essere indirizzate esclusivamente a test interni, coinvolgendo solo i dipendenti dell’azienda e non gli utenti finali. Dopo aver annunciato l’interruzione del programma su iOS, un secondo rappresentante di Facebook è intervenuto comunicando quanto segue.
Si stanno ignorando elementi chiave a proposito di questa ricerca di mercato. A differenza di quanto sostenuto dai primi report, non c’è niente di “segreto”: è sempre stato chiamato esplicitamente Facebook Research App. Non ha “spiato” nessuno e le persone che si sono registrate per partecipare sono passate attraverso un chiaro processo per l’attribuzione delle autorizzazioni, ottenendo in cambio un pagamento. Infine, meno del 5% delle persone che hanno scelto di partecipare sono adolescenti, tutti autorizzati dal consenso firmato dei genitori.
Una vicenda dai contorni al momento ancora non del tutto chiari, che solleva ulteriori domande sulle pratiche attuate dal social network per rastrellare e analizzare i comportamenti anche di coloro che non sono necessariamente iscritti alla piattaforma e, di conseguenza, su potenziali rischi per la loro privacy.
Aggiornamento: il certificato (Enterprise Certificate) è stato revocato da Apple e il funzionamento dell’applicazione è ufficialmente interrotto su tutti i dispositivi iOS.