Facebook 的企业证书被撤销了,但这件事情反映出了几个大的问题|通讯#12

1月30日晚,TechCrunch的编辑 Josh Constine 在twitter上发了一串推文 ,曝光了Facebook 长期以来通过某些某些收集用户数据的行为。事件详情可查Josh Constine发表于TechCrunch的文章《Facebook pays teens to install VPN that spies on them》

事情的经过大致是这样的:

Facebook 以「有偿社会调查」的名义推出了一款叫Research的应用程序,由于这款应用会收集用户数据,所以苹果方面肯定不会过审。Facebook决定通过企业证书的形式绕过苹果的审查进行分发。同时为了掩藏Facebook的身份,这款应用是借助BetaBound, uTest 和 Applause这些第三方的应用测试机构进行分发,但这款应用的下载说明里显示这款应用来自 r.facebook-program.com。

根据 BetaBound为这款应用所作的广告,这次「有偿社会调查」酬劳是一个月20美金——这就是Facebook为你的隐私开出的价格。事情曝光后Facebook随即关停了应用(安卓端还能正常使用),苹果方面也撤销了Facebook的企业证书,但这并不影响Facebook在AppStore上架的应用。

据CNBC报道,Facebook首席运营官雪莉·桑德伯格表示,Facebook用户在参与公司的市场调研项目之前,需要经过“一系列严格的同意流程”。确实,在 Research 应用的注册页面列举出了他们会收集的数据,例如:你手机安装了哪些应用、你如何使用以及何时使用、你在这些app上的活动、网页浏览记录......基本上你的一举一动都会被送进Facebook的服务器,「即便这些数据是加密的」。

此外,如果你使用亚马逊,Research 会要求用户在亚马逊的订单页面截屏。

这不是Facebook第一次这么做。BuzzFeed News 在2014年就曝光过类似事件:Facebook 收购 Onavo 后,这款帮助用户节约流量的VPN应用就开始收集用户数据。正是在 Onavo 的帮助下,Facebook 意识到了 WhatsApp 用户发送消息的频次是 Facebook Messager 的两倍,并一举收购。但安全专家 Strafach detailed 于2018年三月份曝光Onavo 侵犯用户隐私,6月,苹果更新了开发者政策,禁止收集用户在其他app上的数据用量和与产品功能无关的数据。8月份,Facebook在AppStore下架了Onavo ,但在Google Play上,他依然存在。

据TechCrunch报道,Research 最早于2016年上线,并在2018年年中在内部被称作 Atlas 计划。而随着Strafach对Research的进一步分析,他们发现,数据被传输到了vpn-sjc1.v.facebook-program.com这个地址,这正是Onavo过去曾使用的地址。Strafach表示,iOS端的Research就是被下架的Onavo的马甲。我们甚至可以推断:Research 可能是就是为了接替被下架的 Onavo 而准备的替补。

企业证书是苹果专门用来解决企业内部特殊应用的一个功能,例如你的公司内部通讯都需要借助一个内部软件,这个软件并不公开发行,所以不用上架苹果官方的App Store,苹果考虑到这个需求,通过颁发企业证书的形式让这些应用得以运行在iOS设备上。除开内部软件,还有部分测试版的软件也可以通过这种方式分发出去。也就是说,在苹果撤销Facebook的企业证书后,Facebook内部许多用着测试版Facebook应用的工程师和测试人员也将无法继续在iOS设备上使用测试版应用,这一点对于Facebook而言可能是更大的麻烦。

在Facebook被曝光滥用企业证书分发收集用户数据的应用后,Google也被曝光绕过苹果的限制参与收集用户数据,方法如出一辙,都是利用企业证书。不过在被苹果发现以前他们就将应用关停了。

苹果暂时还是用户数据的捍卫者,以后呢?

苹果在今年1月举行的CES展台外竖起了一块广告牌,标语是”What happens on your iPhone,stays on your iPhone“(发生在iPhone上的一切都会留在iPhone上),希望撬动在意用户隐私的用户。去年,当苹果首席执行Tim Cook被问及,如果遭遇到了剑桥分析公司事件这样的丑闻,他会如何应对,他说:「他根本不会遇到这种问题……如果我们把用户当商品,我们当然可以赚很多钱。但我们不会这么做。」苹果向来对用户隐私极其重,其中一部分原因是苹果的价值观,这是一家爱惜羽毛的公司,另一部分原因则是他们有足够的利润,没有必要赚这笔「脏」钱。

以硬件为主要利润来源的苹果在隐私这件事情上天然「政治正确」。他是iOS的规则制定者,他说要保护用户隐私,就一定能让iOS上的开发者接触不到任何敏感的用户数据。剑桥分析公司数据泄露事件被曝光后,大众的隐私意识有了明显提高,苹果对用户隐私保护的加码可以为他带来更多在意隐私的消费者。从这个角度上,苹果对用户隐私的保护和他的商业利益是一致的。

但是随着苹果近年来硬件销量,尤其是iPhone销量的下滑,软件和服务将会成为苹果营收的新增长点。一旦涉及到软件和服务,用户行为所产生的数据将会成为一座有待开发的「金矿」,这座「金矿」苹果肯定会挖,至于怎么挖,就要来看苹果来向Facebook们示范,如何「不弯腰就把钱挣了」。

企业认证有隐患

Facebook和Google都被曝光滥用企业认证这个苹果政策的「漏洞」收集用户隐私,苹果未来肯定会调整企业认证的标准。如前文所属,企业证书是刚需,而企业证书被滥用也是事实,不仅仅是Facebook和Google,有许多程序都通过企业认证的形式被下载到iOS设备上,这些程序提供的服务甚至涉及到苹果政策所不容许的色情和赌博。如何让企业证书不被滥用,是苹果面临的第二个问题。

谁来限制苹果?

苹果虽然是一家「耿直」的公司,但是商业竞争的输赢从来不是看谁更「耿直」。从这次事件来看,虽然苹果只是撤销了Facebook的企业证书,但这已经足够让Facebook内部麻烦一整子了。测试版的app打不开,企业内部应用无法使用——只需要这一个动作,苹果就能让Facebook元气大伤。

苹果此举这不由得让人联想到微信接连对外链的屏蔽。1月15日三款社交应用上线,借道微信拉新,链接被屏蔽;近日百度在微信传播的红包链接也被屏蔽;更就之前,抖音在微信的分享链接也被屏蔽;甚至抖音上的「微信登录」按钮都无法使用。微信也只需要改一改后台的屏蔽参数,就能让很多公司的推广活动受挫。

微信有10亿用户,但是搭载iOS的设备有20亿台,如果说微信是中国互联网的基础设施,那么iOS就是苹果统治下的王国。任何人想在iOS这个国家里做生意,都要遵循苹果的法律。如果苹果只需要动动手指就让你的手机无法使用某一个应用,那么谁能阻止他?当然,按照苹果「耿直」的价值观,他不会这么做,如果真的真么做了,美国的反垄断法也不会放过他。但我们不能保证苹果能一直这么「耿直」下去,也不能保证苹果做某些更细小,但同样影响巨大的动作,就像微信屏蔽某些链接那样。

以收集用户数据为基础建立起来的商业模式可以维持吗?

Facebook的商业模式决定了贩卖用户数据是它的主要收入来源。首先是广告,更大的用户数据量可以更精准的投放广告。如前文所说,用户数据还能支撑他们的商业决策,通过洞悉消费者的需求,据外媒猜测,这次的数据收集事件的主要对象就是13到17岁的年轻人,而这群人正在脱离Facebook的掌控。此外,Facebook还能把数据给其他人和公司,剑桥分析公司丑闻就是这么发生的。所以,Facebook早就不是一个互联网公司,而是一个贩卖用户数据的数据公司或者是市场调查公司。

从这一点上看,Facebook的发展轨迹其实和百度有点像,但是百度里数据更近,早期的百度也不用主动收集用户数据,用户会主动把自己的需求告诉他,但他们的商业模式是一样的——都是以数据为中心,做广告分发和数据转卖。

但是从百度和Facebook近年的发展轨迹和闹出的丑闻来看,大众会越来越重视自身的隐私,毫无顾忌的收集和转卖是不可持续的。广告是互联网诞生之处最早也是最成功的商业模式,早期的互联网公司都是靠广告赚得第一桶金,这是互联网的媒介属性使然,互联网广告不可能被消灭,但依靠大数据建立起来的广告精准投放模式应该被得到规范。

值得一提的是,在同一天,Facebook公布了2018 年最后 1 季度财报以及全年业绩。数据表明Facebook平台的广告主数量在增长。虽然消费者都讨厌Facebook收集他们的数据,但是在广告商眼里,这反倒是件好事。从这个角度看,Facebook收集用户数据的问题其实是公共利益和商业利益的较量。


题图:Con Karampelas

图2~5来自TechCrunch

图6、7来自网络

Comments
Write a Comment