iOS-sikkerhedsforsker: Facebooks messenger-app overvåger dig mere, end man skulle tro

Illustration:
Apps bliver brugt til at overvåge brugere, men graden af overvågning, der er forbundet med Facebooks Messenger-app, overrasker alligevel sikkerhedsforsker.

Det er velkendt, at mange apps i større eller mindre grad indsamler oplysninger om brugernes adfærd, som mediet Vice's Motherboard kanal kan fortælle. Men graden, hvormed Facebooks Messenger-app ser ud til at overvåge, overrasker alligevel sikkerhedsforskeren Jonathan Zdziarski, der har kigget på udgaven til Apples iOS.

»Messenger ser ud til at have mere spywarelignende kode i sig, end jeg har set i produkter specifikt designet til enterprise-overvågning,« hed det i et tweet fra Zdziarski.

I en mail til Vice fortæller han, at Facebooks Messenger logger stort set alt, brugeren måtte foretage sig i appen. Alt fra, hvor de tapper, til hvor ofte enheden er holdt i portrait eller landscape-position. Også tiden, der bliver brugt i Messenger-app'en sammenlignet med, hvor meget den kører i baggrunden, bliver registreret ifølge Zdziarski.

Ud over data, der kan bruges til at analysere brugen af appen, har sikkerhedsforskeren også opdaget andre ting ved Facebook Messenger, hvis formål er mindre gennemskuelige.

»Facebook anvender nogle private API'er, som jeg ikke engang vidste var tilgængelige inde i sandkassen (sandbox, eng.) for at kunne trække oplysninger om wifi-SSID ud, (hvilket kan bruges til at opsnappe, hvilke wifi-netværk du er forbundet til), og de tapper også listen over processer på enheden for forskellige information,« skriver Zdziarski i mailen til Vice Motherboard.

Via Twitter har sikkerhedsforskeren desuden fortalt, at han har samarbejdet med virksomheder, der udvikler erhvervsrettet overvågningssoftware, som ikke har været klar over, at det var muligt at opnå den form for adgang, Facebook Messenger anvender på iOS.

Zdziarski understreger dog også, at 'et par timers roden rundt ikke betyder, der kan drages nogen meningsfulde konklusioner ... men at der er meget kode, som antyder, at Facebook kører analyser på stort set alt, der kan overvåges på ens enhed'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gronemann

Hvis man er af en mistroisk type kunne man måske mistænke Facebook for at have splittet Messenger ud for sig sådan at en evt. blokering af deres App pga. misbrug af private APIer ikke fører til at deres "kerneydelse" forsvinder fra App Store.

Hvis man er endnu mere paranoid kan det have været en indforstået aftale mellem Apple og Facebook at Facebook godt må bruge det på den måde medmindre nogen tager dem med fingrene i kagedåsen, hvorved Apple så kan bedyre at det var en fejl at den slap igennem deres godkendelsesproces.

  • 9
  • 0
Brian Hansen

Nu er Vice sjældent en kilde jeg ville lægge meget tillid til... Der råbes så meget op om Facebook Messengers smagen, uden folk tænker over om appen rent faktisk har brug for de tilladelser til bl.a. Mikrofon, kamera og GPS. Det kan de tænke over næste gang de poster en video, med lyd, fra sommerhuset i Vallensbæk. Lur mig om ikke der er flere apps der har samme eller flere rettigheder. Hvis man er så øm overfor at kunne spores, hvad laver man så på internettet? For ikke at tale om Facebook, i første omgang?

  • 4
  • 9
Allan S. Hansen

Hvis man er så øm overfor at kunne spores, hvad laver man så på internettet?

.... hvad? Ja - man kan lade være med at benytte Facebooks messenger app - jeg vil eksempelvis ikke bruge den; men det er skisme fornuftigt nok at nogle undersøger hvad der reelt foregår så folk kan få et oplyst grundlag for at vælge.

Der er intet defineret nogle steder om at man partout skal lade sig overvåge for at benytte internettet. Selvom regeringer og virksomheder gerne vil have det.

Hvis man vil benytte en service der overvåger dig, fint - men så er det også fint der er opmærksomhed om hvad informationer der reelt snuppes og hvad de bruges til. Og der er disse services ekstremt ringe til at oplyse og gemmer sig bag en masse jura-speak som ingen almindelige folk forstår og som sikkert ikke fortæller hele sandheden netop fordi der er så få der forstår dem.

  • 9
  • 0
Knud Jensen

I en mail til Vice fortæller han, at Facebooks Messenger logger stort set alt, brugeren måtte foretage sig i appen. Alt fra, hvor de tapper, til hvor ofte enheden er holdt i portrait eller landscape-position. Også tiden der bliver brugt i Messenger app'en sammenlignet med, hvor meget den kører i baggrunden, bliver registreret ifølge Zdziarski.

Dette er ganske normalt. Sker tit på hjemmesider. Noget så simpelt som størrelsen på en "køb"-knap på en hjemmeside kan jo være afgørende for hvor meget der bliver købt.

De andre metoder med at tappe hardware info er heller ikke unormalt, det bruges som regel som Device fingerprint, i forhold til at identificere brugeren. Og i modsætning til CPR-nr eller navn/adresse er der ikke nogen lov som forhindrer at videregive denne oplysning til 3. parts firmaer.

Og alene det faktum at Facebook startede som en hjemmeside og endnu er det, gør at mange af de principper man har derfra også flytter med over i App'en.

I øvrigt så er Facebooks logning af vores brugsmønstre vel det vi giver i betaling for at bruge deres "gratis" service.

  • 1
  • 1
Lars Bjerregaard

Diverse medier, inkl. V2, bruger desværre nu ordet "overvågning", om ting der går langt ud over hvad overvågning rent faktisk er. Forudsigeligt, da det jo spiller på folks frygt, og frygt giver mange klik, ikke sandt?

Så, for lige at slå fast - mekanismer i software, der kan bibringe viden om brugsmønster, det tekniske miljø, og hvordan softwaren fungerer i den konkrete sammenhæng, er ikke i sig selv overvågning. Det er derimod meget værdifulde mekanisker, med navne som "analytics", statistik, debug-info, tracing, etc. Disse ting er kun skadelige, hvis de går ud over performance, eller transmiterer oplysninger som kan kompromitere brugerens privacy/privatliv.

Reel overvågning er, når ophavsmændende forsøger at knytte disse data sammen med en fysisk person, i andre sammenhænge end hvor brugeren synes det er en åbenlyst god ide (f.eks. en helbreds applikation i forhold til et hospital).

Ja, der findes desværre en del software med indbygget overvågning, men lad lige være med at smide en værdifuld baby ud med badevandet, i de tilfælde hvor det kun handler om, at skaberen af software kan få værdifuld viden om performance af hans software, til gavn for brugeren og ham selv.

Nogen gange kan det være en fin linie, og man skal altid være opmærksom og rapportere om misbrug. Men skil nu snot fra skidt. Der er intet galt, i sig selv, i at et program f.eks. logger hvor mange gange der er trykket på en bestemt knap. Men det er også god skik, at dette er en "opt-out" indstilling, så brugeren kan slå det fra hvis han af en eller anden grund ikke ønsker at du skal vide hvor mange gange han har klikket på den knap, pga. at han har mistanke om at dette bliver misbrugt.

  • 4
  • 2
Anonym

I det omfang app'en henter data om andet end hvad der foregår i app'en, altså f.eks. oplysninger om wifi, andre app osv., så er der tale om overvågning. Den "fine linie" er ikke så vanskelig at se. Det er ulovligt, med mindre brugeren har givet udtrykkeligt samtygge. Her er det vigtigt at der skal gives samtygge inden funktionen opstartes, for ellers er brugeren som udgangspunkt overvåget.

Jeg forstår slet ikke nogen accepterer den slags. Den overvågning er simpelthen skadelig for hele branchen. Det som her beskribes, betyder at sikkerheden omkring andre funktioner og app's er undermineret. Herunder så er Apple selv, i øjeblikket voldsomt udfordret på sikkerheden omkring deres løsninger.

  • 4
  • 0
Kevin Johansen

Device fingerprint, og enhver anden information, der kan bruges til at udlede din person, herunder også hvis det kræver yderligere information for at "identificere" dig, er underlagt den danske persondatalovgivning. Dvs. IP-adresser (fordi de sammen med udbyderdata er personhenførbare), BlueTooth device ID, IMEI etc. etc. etc. ALLE INFORMATIONER DER ER PERSONHENFØRBARE ELLER KAN BRINGES TIL AT VÆRE PERSONHENFØRBARE er underlagt "persondataloven". Men nu er Facebook jo ikke underlagt dansk lovgivning, så det er jo ligemeget. :)

  • 1
  • 0
Anonym

@ Lars Bjerregaard

Indsamling af oplysninger, må udelukkende finde sted, hvis der et tale om saglige formål og den registrerede har givet sit udtrykkelige samtykke . Paragraf 3 - 5 - 6.

Her er f.eks. indsamling af information af SSID en klar overtrædelse. Det har ingen relevans at den registrede skal bringe en sådan information videre. Et eksempel kan være, at jeg stiller et SSID til rådighed som benyttes af flere registrerede med en sådan app, denne dataopsamling vil så blive anvendt af den dataansvarlige, uden mit samsamtykke.

I alle tilfælde, hvor en sådan dataopsamling finder sted, uden den registreredes udtrykkelige samtykke, er det helt enkelt ulovligt.

  • 4
  • 0
Lars Bjerregaard

Her er f.eks. indsamling af information af SSID en klar overtrædelse. Det har ingen relevans at den registrede skal bringe en sådan information videre

Jeg er enig i, at SSID normalt ikke er noget en app bør registrere eller bekymre sig om (her ser jeg bort fra hvordan lokationsinformation og frameworks fungerer, som default). Det er dog ikke personhenførbar information, og har ikke noget med persondataloven at gøre.

  • 0
  • 0
Anonym

@ Lars Bjerregaard

Nu giver det ingen mening for mig mere. Først giver du mig medhold i, at SSID er en irrelevant information at opsamle, efterfølgende, i samme sætning, så vil du se bort fra at opsamling af SSID er i orden, under din særlige forudsætning, at man ikke også opsamler lokationsinformation.

Så vidt jeg er bekendt, så opsamler Facebook netop IP information, hvilket i øvrigt fremgår af deres brugerbetingelser.

Jeg er enig i, at SSID normalt ikke er noget en app bør registrere eller bekymre sig om (her ser jeg bort fra hvordan lokationsinformation og frameworks fungerer, som default). Det er dog ikke personhenførbar information, og har ikke noget med persondataloven at gøre.

  • 1
  • 0
Lars Bjerregaard

Jo det er det skam. Af selvsamme årsag skulle Google slette indsamlede data til deres Maps tjeneste (dengang de lige havde suget alle åbne SSID og hvad de ellers fandt den vej rundt). Så jo, det opfattes som personhenførbart i loven / af Datatilsynet.

Vrøvl, og det her er det sidste jeg skriver om emnet. Google skulle slette opsamlede data, de de ved en fejl var kommet til at suge brugernavn/password trafik, fra åbne hotspots. SSID databasen, sammen med mastedatabasen og så GPS, er fundamentet for hvordan lokationsdata fungerer på f.eks. en moderne smartphone. Der er intet ulovligt ved at registrere hvilke SSID'er hører sammen med hvilke koordinater. Det er offentlig information, ligesom mastedatabasen. Check dine facts. Over-and-out....

  • 0
  • 1
Log ind eller Opret konto for at kommentere