Джейн Манчун Вонг, независимый исследователь механизмов безопасности, обнаружила, что приложение Facebook сканирует системные библиотеки пользователя в фоновом режиме и отправляет их на сервер, принадлежащий этой социальной сети.
Эта функция была названа « Global Library Collector » (для краткости GLC ) и находится в коде приложения. Периодически сканирует и отправляет метаданные системной библиотеки на сервер. Как она проверила на примере своего устройства, с него было загружено 2233 метаданных системных библиотек, и 1162 библиотеки ожидали отправки. На сервере Facebook коллекции, связанные с устройством, сохраняются. Каждая библиотека отправляется в сжатом виде, а именно в архиве gzip . Сжатие происходит перед отправкой данных на сервер. Пользователь не имеет возможности проверить, что загружается и отправляется с его устройства.
Facebook сканирует системные библиотеки с телефона своего Android-приложения в фоновом режиме и загружает их на свой сервер
Это называется «Глобальный сборщик библиотек» на Facebook, известный как «GLC» в коде приложения.
Периодически загружает метаданные системных библиотек на сервер pic.twitter.com/olwk1BPMoQ
— Джейн Маньчун Вонг (@wongmjane) 30 августа 2019 г.
Как признается Джейн Манчун Вонг , он понятия не имеет, для чего предназначен такой сбор данных. Первоначально она думала, что ее следует использовать для оптимизации или отладки, но после тщательного изучения вопроса и более подробного анализа механизма действия она пришла к выводу, что это нечто вроде червя . Если GLC был создан для улучшения работы приложения, Facebook должен тщательно объяснить механизмы действия и точную информацию о загруженных данных. Это выглядит иначе, чем нелегальный сбор информации или просто шпионаж. Google выполняет аналогичные проверки — использует Play Protect . Но он информирует пользователей об этом, которые имеют представление обо всем, кроме того, есть страница помощи, объясняющая весь механизм работы.
Однако, как отмечается, найденный сканер обнаружен только в приложении Facebook для Android . У него нет доступа к личным файлам пользователя, таким как фотографии и документы. А поскольку приложение может использовать системные библиотеки, которые поставляются с Android, в этом случае нарушения конфиденциальности и шпионажа нет. Однако такая информация может помочь вам проанализировать неисправности системы и приложений на рутованных устройствах.
