Tudo o que você precisa saber sobre o escândalo da Apple, Facebook e Google

O Facebook e o Google entram em confronto com a Apple nesta semana, depois que duas investigações revelaram o uso indevido de certificados internos – levando à sua revogação, o que levou a um dia de paralisação nos dois gigantes da tecnologia.

Como tudo isso começou e o que aconteceu?

Na segunda-feira, foi descoberto que o Facebook estava usando indevidamente um certificado corporativo emitido pela Apple, destinado apenas a empresas que usam para distribuir aplicativos internos, somente para funcionários, sem precisar passar pela Apple App Store. Mas a gigante de mídia social usou esse certificado para assinar um aplicativo que o Facebook distribuía fora da empresa, violando as regras da Apple.

O aplicativo, conhecido simplesmente como “Pesquisa”, permitia ao Facebook acesso incomparável a todos os dados que saíam de um dispositivo. Isso incluiu o acesso a alguns dos dados mais sensíveis da rede dos usuários. Usuários do Facebook – incluindo adolescentes – recebiamUS $ 20 por mês para instalar o aplicativo. Mas não ficou claro exatamente que tipo de dados estava sendo sugado ou por que motivo.

Acontece que o aplicativo era um clone de outro antigo que foi banido da app store por coletar muitos dados sobre os usuários.

A Apple estava furiosa porque o Facebook estava usando indevidamente seus certificados corporativos de emissão especial para empurrar um aplicativo já banido e o revogou – tornando o aplicativo incapaz de abrir. Mas o Facebook estava usando o mesmo certificado para assinar seus outros aplicativos somente para funcionários, efetivamente colocando-os offline até que a Apple re-emitisse o certificado.

Então, descobriu-se que o Google estava fazendo quase exatamente a mesma coisa com seu aplicativo Screenwise, levando ao banimento do app.

Qual é a controvérsia sobre esses certificados corporativos e o que eles podem fazer?

Se você deseja desenvolver aplicativos da Apple, você deve obedecer às suas regras – e a Apple expressamente faz as empresas concordarem com seus termos.

Uma regra importante é que a Apple não permite que os desenvolvedores de aplicativos ignorem a App Store, onde cada aplicativo é verificado para garantir que esteja o mais seguro possível.

No entanto, ela concede exceções para desenvolvedores corporativos, como para empresas que desejam criar aplicativos que são usados ​​apenas internamente pelos funcionários.

Facebook e Google, neste caso, se inscreveram para desenvolvedores corporativos e concordaram com os termos de desenvolvedor da Apple.

Cada certificado emitido pela Apple concede às empresas permissão para distribuir aplicativos desenvolvidos internamente – incluindo versões de pré-lançamento dos aplicativos que eles criam, para fins de teste. No entanto, esses certificados não podem ser usados ​​por consumidores comuns, pois eles precisam fazer o download de aplicativos por meio da App Store.

O que é um certificado “raiz” e por que seu acesso é grande coisa?

Como o Facebook Reserach e o aplicativo Screenwise do Google foram distribuídos fora da App Store da Apple, foi necessário que os usuários instalassem manualmente o aplicativo, conhecido como sideloading. Isso exige que os usuários passem por algumas etapas complicadas de fazer o download do aplicativo, abrir e confiar no certificado de assinatura de código do desenvolvedor corporativo do Facebook ou do Google, que é o que permite que o aplicativo seja executado.

As duas empresas exigiram que os usuários, depois que o aplicativo fosse instalado, concordassem com uma etapa de configuração adicional – conhecida como perfil de configuração de VPN – permitindo que todos os dados enviados pelo usuário passassem por um túnel especial que direcionasse tudo para o Facebook ou Google. dependendo de qual aplicativo você instalou.

É aqui que os casos do Facebook e do Google são diferentes.

O aplicativo do Google coletou dados e os enviou para o Google para fins de pesquisa, mas não conseguiu acessar dados criptografados, como o conteúdo de qualquer tráfego de rede protegido por HTTPS, como a maioria dos aplicativos da App Store e de sites da Internet.

Facebook, no entanto, foi muito mais longe. Seus usuários foram solicitados a passar por uma etapa adicional para confiar em um tipo adicional de certificado no nível “raiz” do telefone. Confiar nessa autoridade de certificação raiz do Facebook Research permitiu que a gigante da mídia social analisasse todo o tráfego criptografado que sai do dispositivo – essencialmente o que chamamos de ataque “man-in-the-middle”. Isso permitiu que o Facebook peneirasse suas mensagens, seus e-mails e qualquer outro dado que deixasse seu telefone.

Somente os aplicativos que usam a fixação de certificados, que rejeitam qualquer certificado que não sejam os próprios, foram protegidos, como o iMessage, o Signal e, além disso, qualquer outra solução criptografada de ponta a ponta.

Quais dados o Facebook tem acesso no iOS?

É difícil saber com certeza, mas definitivamente teve acesso a mais dados do que o Google.

O Facebook disse que seu aplicativo era para ajudá-lo a “entender como as pessoas usam seus dispositivos móveis”. Na realidade, no nível do tráfego de raiz, o Facebook poderia ter acessado qualquer tipo de dados que deixassem seu telefone.

Will Strafach, um especialista em segurança com quem conversamos pela nossa história, disse: “Se o Facebook fizer uso total do nível de acesso que recebe ao pedir aos usuários que instalem o certificado, eles terão a capacidade de coletar continuamente os seguintes tipos de dados: mensagens privadas em aplicativos de mídia social, bate-papos em aplicativos de mensagens instantâneas, incluindo fotos / vídeos enviados para outras pessoas, e-mails, pesquisas na web, atividades de navegação na web e informações de localização em andamento, tocando nos feeds de qualquer aplicativo de rastreamento de localização instalado. ”

Lembre-se: isso não é um acesso “raiz” ao seu telefone, como jailbreak, mas acesso root ao tráfego da rede.

Como isso se compara às formas técnicas que outros programas de pesquisa de mercado funcionam?

Para ser justo, estes não são aplicativos de pesquisa de mercado exclusivos do Facebook ou do Google. Várias outras empresas, como a Nielsen e a comScore, executam programas semelhantes, mas não pedem aos usuários que instalem uma VPN ou forneçam acesso root à rede.

De qualquer forma, o Facebook já tem muitos dados – assim como o Google. Mesmo que as empresas só quisessem ver seus dados em conjunto com outras pessoas, ainda assim, ele poderia saber quem você fala, quando, por quanto tempo e, em alguns casos, o que acontece. Pode não ter sido um escândalo tão explosivo se o Facebook não tivesse passado o último ano limpando após várias violações de segurança e privacidade.

Eles podem capturar os dados das pessoas com as quais o proprietário do telefone interage?

Em ambos os casos, sim. No caso do Google, todos os dados não criptografados que envolvem dados de outra pessoa podem ter sido coletados. No caso do Facebook, ele vai muito além – qualquer dado seu que interaja com outra pessoa, como um e-mail ou uma mensagem, poderia ter sido coletado pelo aplicativo do Facebook.

Quantas pessoas isso afetou?

É difícil saber com certeza. Nem o Google nem o Facebook disseram quantos usuários têm. Entre eles, acredita-se que esteja na casa dos milhares. Quanto aos funcionários afetados pelas interrupções do aplicativo, o Facebook tem mais de 35.000 funcionários e o Google tem mais de 94.000 funcionários.

Por que os aplicativos internos no Facebook e no Google quebraram depois que a Apple revogou os certificados?

Você pode ter o seu dispositivo Apple, mas a Apple ainda controla o que está acontecendo.

A Apple não pode controlar os certificados raiz do Facebook, mas pode controlar os certificados corporativos emitidos. Depois que o Facebook foi pego, a Apple disse: “Qualquer desenvolvedor usando seus certificados corporativos para distribuir aplicativos para os consumidores terá seus certificados revogados, que é o que fizemos neste caso para proteger nossos usuários e seus dados.” Isso significava que qualquer aplicativo que dependesse no certificado corporativo do Facebook – incluindo dentro da empresa – não conseguiria carregar. Isso não é apenas versões de pré-lançamento do Facebook, Instagram e WhatsApp em que a equipe estava trabalhando, mas supostamente os aplicativos de viagens e colaboração da empresa estavam inativos. No caso do Google, até seus aplicativos de menu de bufê e almoço estavam inativos.

Os aplicativos internos do Facebook ficaram inativos por cerca de um dia, enquanto os aplicativos internos do Google ficaram inativos por algumas horas. Nenhum dos serviços ao consumidor do Facebook ou do Google foi afetado, no entanto.

Como as pessoas estão vendo a Apple em tudo isso?

Ninguém parece feliz com o Facebook ou o Google no momento, mas muitos não estão satisfeitos com a Apple também. Embora a Apple venda hardware e não use seus dados para criar um perfil para você ou veicular anúncios – como o Facebook e o Google -, alguns ficam desconfortáveis com o poder que a Apple tem sobre os clientes – e empresas – que usam seus dispositivos.

Ao revogar os certificados corporativos do Facebook e do Google e causar tempo de inatividade, ele tem um efeito indireto interno.

Isso é legal nos EUA? E quanto na Europa com o GDPR?

Bem, isso não é ilegal – pelo menos nos EUA, o Facebook diz que obteve o consentimento de seus usuários. A empresa chegou a afirmar que seus usuários adolescentes precisam obter o consentimento dos pais, mesmo que seja facilmente enganavel e nenhuma verificação tenha sido feita. Não foi nem mesmo explicitamente claro que as crianças que “consentiram” realmente entenderam o quanto de privacidade elas realmente estavam entregando.

Isso poderia levar a grandes dores de cabeça regulamentares. “Se os adolescentes europeus participarem da pesquisa, o Facebook poderá enfrentar outra enxurrada de reclamações no âmbito do Regulamento Geral de Proteção de Dados (GDPR) do bloco – e a perspectiva de multas substanciais se qualquer agência local determinar que não cumpriu suas promessas, consentimento e requisitos de ‘privacidade desde a concepção’ assemelham-se ao regime de privacidade do bloco”.

Qual o é próximo passo?

Ninguém sabe, mas não espere que esta situação diminua em breve.

Facebook pode enfrentar repercussões com a Europa, bem como em casa. Dois senadores dos EUA, Mark Warner e Richard Blumenthal, já pediram ação, acusando o Facebook de “escutas telefônicas em adolescentes”. A Federal Trade Commission também pode investigar se Blumenthal conseguir o que quer.

Fonte: Techcrunch

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.