Durch die Hintertür: Facebook bezahlte Teenager für Schnüffelei auf dem iPhone

Die Schnüffelei ging offenbar weiter: Auch nach dem Aus für eine iPhone-App namens "Onavo VPN", die wegen eines Verstoßes gegen Apples Richtlinien aus dem App Store entfernt werden musste, hat Facebook weiter Nutzungsdaten gesammelt. Für den Einsatz einer "Research" genannten App wurden die Smartphone- Besitzer, darunter viele Teenager, monatlich entlohnt. Damit das Programm auf den iPhones installiert werden konnte, missbrauchte Facebook außerdem Apples Entwicklerprogramm.


Alle Aktivitäten übermittelt
"Facebook Research" baut auf dem iPhone ebenso wie die von Apple verbannte App "Onavo" ein Virtual Private Network (VPN) auf und überträgt alle Aktivitäten des Nutzers an das soziale Netzwerk. Durch den Einsatz eines Root-Zertifikats hat die Anwendung Einblick in die gesamte Kommunikation, auch verschlüsselte Netzwerkverbindungen können so mitgelesen werden. Informationen über die auf dem Gerät installierten Apps und deren Nutzung wurden ebenfalls an Facebook übertragen.


Auf Instagram und Snapchat warb Facebbok für seine "Studie".
Screenshot: TechCrunch

Nicht über "TestFlight" verteilt
Auf die iPhones gelangte "Facebook Research" einem ausführlichen Bericht von TechCrunch zufolge über Betatest-Dienste. Apples hauseigener Service "TestFlight" kam absichtlich nicht zum Einsatz; Facebook war offenbar bewusst, dass die App eklatant gegen die Richtlinien des iPhone-Herstellers verstößt.

20 Dollar pro Monat
Für den Einsatz von "Facebook Research" erhielten die Nutzer im Rahmen einer angeblichen "Studie zur Erforschung sozialer Medien" Beträge von bis zu 20 US-Dollar pro Monat. Die iPhone-Besitzer - und im Falle von Minderjährigen deren Eltern - wurden zwar grob über die Datensammelei der App informiert, detaillierte Informationen wie sie etwa europäische Datenschutzregeln vorschreiben, erhielten sie allerdings nicht. Ob Facebook mit der Schnüffel-App US-amerikanische Gesetze verletzt hat, ist nicht bekannt.

Seit 2016 im Einsatz
Zum Einsatz kam "Facebook Research" seit 2016. Nachdem TechCrunch darüber berichtet hatte, kündigte Facebook an, die App nicht weiter für iOS anbieten und mit bestehenden Installationen keine weiteren Daten sammeln zu wollen. Apple hat bislang nicht öffentlich zu dem Vorgang Stellung bezogen. Ob und falls ja, welche Konsequenzen der iPhone-Hersteller im Hinblick auf Facebook ziehen wird, ist daher nicht bekannt.

Kommentare

88Bit30.01.19 14:29
Das riecht nach Ärger. Aber Facebook scheint ja eine große Lobby zu haben und die Strafzahlungen schüttelt sich FB ja auch aus dem Arm. Schade, dass sie es echt so nötig haben Kinder mit 20$ abzuspeisen.
+10
Metti
Metti30.01.19 14:32
War es nicht so, dass Entwickler, die so eklatant gegen die Bedingungen verstoßen, die Entwicklerlizenz entzogen bekommen. Mit der Konsequenz, dass auch alle Apps aus dem Store fliegen?
Kein Facebook, keine WhatsApp, was auch immer sonst noch zu Facebock gehört rauswerfen, wäre schon eine Haunummer.

Mich persönlich würde es nicht stören

Gruß, Stefan Mettenbrink.
+16
ollerich
ollerich30.01.19 14:52
das App hiess Onavo, nicht Ovano (siehe "Ergänzende Artikel"), nur so nebenbei...
Leaves are falling words from the earth. Spoken in silence. Never heard.
+1
LoCal
LoCal30.01.19 14:55
Metti
War es nicht so, dass Entwickler, die so eklatant gegen die Bedingungen verstoßen, die Entwicklerlizenz entzogen bekommen. Mit der Konsequenz, dass auch alle Apps aus dem Store fliegen?
Kein Facebook, keine WhatsApp, was auch immer sonst noch zu Facebock gehört rauswerfen, wäre schon eine Haunummer.

Mich persönlich würde es nicht stören

Gruß, Stefan Mettenbrink.

Facebook hat wohl ganz bewusst diesen Weg der App-Verteilung gewählt, weil sie damit eben nicht gegen AppStore-Richtlinien verstossen.

Und auf Android saugen sie wohl auch weiter ganz offiziell die Daten ab

Aber ich verstehe es auch nicht, dass Facebook nicht schon längst mal eine heftige Strafe bekommen hat.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+5
Dupondt30.01.19 15:04
ollerich
das App hiess Onavo, nicht Ovano (siehe "Ergänzende Artikel"), nur so nebenbei...
Danke für den Hinweis. Artikel ist korrigiert.
0
TFMail1000
TFMail100030.01.19 15:11
Liest sich, als wäre es ein Fall für den Staatsanwalt. Ich auf jeden Fall halte es für kriminell!
May the force be with you
+8
elBohu
elBohu30.01.19 15:30
Wann macht die Bude endlich dicht?
Ich meine,es reicht schon lange!
wyrd bið ful aræd
+5
sierkb30.01.19 15:33
Abgesehen davon, dass es seitens Facebook schon kackendreist und ein starkes Stück ist und es da nichts aber auch gar nichts zu beschönigen und ausschließlich nur zu verurteilen gilt (mit hoffentlich juristischem Nachspiel gegen Facebook) – aber mal so in die Runde gefragt:

Was sagt es eigentlich über die Qualität von Apples AppStore Zulassungsmechanismus bzw. Review-Prozess aus, wenn jemand von Apple bzgl. seiner App (Onavo Protect) zuerst ermahnt, dann wegen Verletzung der AppStore-Regeln abgewiesen wird und er danach postwendend mit im Grunde derselben App, derselben Funktionaliät, denselben APIs und Funktionen, das Ganze erneut eingereicht nur unter neuem Namen (Facebook Research) und versehen mit Facebooks Enterprise Zertifikat, und Apple lässt sie durch und lässt sie gewähren, steht daneben und schaut zu?

Was ist eigentlich Apples Rolle und Verantwortung bei dem Ganzen?
Was prüft Apple da eigentich, prüfen die überhaupt? Wie kann sowas eigentlich überhaupt passieren? Ist die Prüfung seitens Apple nicht eigentlich genau dazu da, um u.a. genau sowas überhaupt zu verhindern und grundsätzlich auszuschließen – erst recht, wenn sie diesbzgl. vorgewarnt waren und dann bei erneuter Einreichung doppelt kritisch hätten hinsehen und prüfen müssen? Wozu brauchen wir eigentlich so eine Eingangskontrolle, wenn sie regelmäßig unterlaufen werden kann – und eben auch regelmäßig wird, es ist ja leider nicht der erste Vorfall – und sie regelmäßig versagt? Wie hoch ist die Dunkelziffer, was ist da alles noch so im AppStore, was da nicht hingehört und eigentlich gleich hätte abgewiesen werden müssen? Was ist da noch der große Vorteil dieses AppStores bzw. dieses Konzepts außer dass es im Grunde nur ein marketingtechnisches Instrument und Feigenblatt ist, sicherheitstechnisch aber offenbar nicht das hält, was es vollmundig verspricht?

Und erneut war es nicht Apple selber, die es aufgedeckt haben, erneut kam es von außen, Details und Kommentare zu dem Ganzen beim Finder und Aufdecker, Will Strafach auf Twitter, Lektüre lohnt.
-2
maculi
maculi30.01.19 15:39
sierkb Durch die Verteilung als beta und über Betatest-Dienste umging faceblöd ja gerade die Apple-eigenen Prüfverfahren. Ganz grundlos haben die diesen Weg der Distribution bestimmt nicht gewählt, da so ganz gezielt die Prüfung durch Apple vermieden werden konnte.
+8
sierkb30.01.19 15:43
maculi:

Apple weiß sowas aber, dass es versucht wird, versucht werden kann, erst recht, wenn vorher schon mal sowas stattgefunden hat und sie da jemanden auf dem Kieker haben bzw. entsprechend sensibilisiert und argwöhnisch sein sollten/müssten (Konjunktiv), weil er ihnen vorher schon auffällig geworden war.

The iPohne wiki: Misuse of enterprise and developer certificates
-2
sierkb30.01.19 16:19
App und Zertifikat seit wenigen Minuten nun zurückgezogen (gut so!):
Will Strafach via Twitter vor wenigen Minuten, 30.01. 2019
Apple has now revoked Facebook’s Enterprise Distribution Certificate. I am very glad to see swift action from Apple and confirmation that nobody is above the rules.
Zack Wittaker viaTwitter, 30.01.2019
Update: Apple said in a statement that Facebook has committed "a clear breach of their agreement with Apple" by using enterprise certificates to distribute its reskinned VPN apps to consumers outside Apple's App Store, and will revoking them.
Q:
Will Strafach via Twitter vor 1Stunde, 30. Jan. 2019
aaaassaassnd it’s gone.
Josh Constine @JoshConstine
Breaking: Facebook is shutting down its Research VPN on iOS in the wake of TechCrunch’s report that it paid people to use the app that collects their data https://tcrn.ch/2Wo1J4J
Q:
+3
LoCal
LoCal30.01.19 17:13
@sierkb Nein, bei AdHoc-Distributoren und bei Enterprise-Distributoren weiß Apple nicht was die App macht. Da kann man dan auch munter private APIs (von iOS) nutzen.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+7
Metti
Metti30.01.19 17:14
Wäre ja schön, wenn Apple jetzt alle Apps von diesem Entwickler rauswerfen würden

Wegen Vorsatz wäre das sicher vertretbar. Und sei es nur für ein paar Tage
+3
Stefan-s30.01.19 17:14
Dieser Zuckerzwerg gehört einfach schnellstmöglich hinter Gitter.
+6
subjore30.01.19 17:37
Metti
War es nicht so, dass Entwickler, die so eklatant gegen die Bedingungen verstoßen, die Entwicklerlizenz entzogen bekommen. Mit der Konsequenz, dass auch alle Apps aus dem Store fliegen?
Kein Facebook, keine WhatsApp, was auch immer sonst noch zu Facebock gehört rauswerfen, wäre schon eine Haunummer.

Mich persönlich würde es nicht stören

Gruß, Stefan Mettenbrink.

Facebook wurde jetzt das verwendete Zertifikat gesperrt. Das heißt alle internen Apps funktionieren nicht mehr. Das ist natürlich etwas unpraktisch für die Produktivität des Unternehmens.
+2
Ely
Ely30.01.19 17:53
Zuckerbübchen kann machen, was es will. Was muß denn noch passieren, daß der Laden auseinandergenommen wird oder daß die Nutzer abspringen?
Wer gegen Datenschutz ist, weil er ja nichts zu verbergen habe, ist auch gegen Meinungsfreiheit, weil er ja nichts zu sagen habe.
+7
kaizenobjc30.01.19 18:00
Leider kann ich Dupondt nicht per PM anschreiben, daher:

"hat die Anwendung Einblick in die gesamte Kommunikation, auch verschlüsselte Netzwerkverbindgen können so mitgelesen werden."

Kommentar kann danach gerne gelöscht werden
0
sierkb30.01.19 18:22
Facebook hat nun (zurecht) ein (selbstverschuldetes) ernstes Problem:

The Verge (30.01.2019): Apple blocks Facebook from running its internal iOS apps
Facebook’s internal iOS apps simply don’t launch anymore

Recode (30.01.2019): Apple says it’s banning Facebook’s research app that collects users’ personal information
Facebook will stop its “market research” program that was paying users in exchange for their mobile data.
+4
Dupondt30.01.19 19:44
kaizenobjc
Leider kann ich Dupondt nicht per PM anschreiben, daher:

"hat die Anwendung Einblick in die gesamte Kommunikation, auch verschlüsselte Netzwerkverbindgen können so mitgelesen werden."

Vielen Dank auch an Dich für den Hinweis.
Tippfehler ist korrigiert.

kaizenobjc
Kommentar kann danach gerne gelöscht werden

Nein, nein, den lassen wir mal so stehen
0
MacTaipan30.01.19 20:47
Jezt hat man wenigstens eine genaue Zahl, was Facebook die Privatsphäre wert ist. 20$.
0
sierkb30.01.19 21:34
Spiegel Online (30.01.2019): Facebooks "Forschungs"-App: Verkaufen Sie nicht Ihr Online-Leben - es lohnt sich nicht
Facebook hat jungen Menschen bis zu 20 Dollar im Monat dafür bezahlt, tiefen Einblick in ihre Smartphone-Nutzung zu bekommen. Ziemlich wenig Geld für so persönliche Daten.

Financial Times: How much is your personal data worth?
Use our calculator to check how much multibillion-dollar data broker industry might pay for your personal data

Spiegel Online, Kommentar (30.01.2019): Facebook und Apple In inniger Hassliebe verbunden
Facebook schleust eine App, die Nutzer durchleuchten soll, an Apples Kontrollen vorbei. Doch so offensichtlich gestört das Verhältnis der beiden Konzerne auch sein mag - sie sind aufeinander angewiesen.
+3
LoCal
LoCal31.01.19 11:19
Wenn es ums "kreative" Datensammeln geht, ist google auch nicht weit:
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen