灰狼/脸书泄露个资给华为? 媒体别再危言耸听:不过是个API
最近有个消息,震撼了媒体圈:脸书居然偷开国安后门给中国手机制造商「华为」、「OPPO」、「联想」、「TCL」?这消息引发美国政府的担忧,以及网路上许多人对脸书的挞伐......
我只想说:「媒体危言耸听够了没啊?这不过就是一个API功能啊!」让我们来搞清楚,这个消息到底怎么来的吧。
首先,消息的起始点,应该是出自纽约时报6月3日的一篇报导:「Facebook Gave Device Makers Deep Access to Data on Users and Friends.」报导里面指出,脸书在今年因为「API权限」开得太多,导致了用户个资被「剑桥分析」给滥用,因此决定关闭这一类的API权限,但是却出现了漏网之鱼:手机制造商。
该报导直接拿「黑莓机」的「Hub App」做比喻,说明用户一旦在「Hub App」上登入了脸书帐号,该App就能下载到这个用户的所有好友资料,包括他们的感情状态、宗教信仰以及即将参加的活动等等。此外,「Hub」甚至被允许进一步存取,这个人「朋友的朋友」有谁:还记得,你脸书发文时可以设定「朋友的朋友」才看得到吗?
黑莓机的「Hub App」是什么呢?其实说穿了就是一个资讯整合软体,它的软体介绍这样写着:「Hub 流畅地整合如 Facebook、Twitter、LinkedIn、WhatsApp、Instagram 及其他应用程式所发出的通知,让您能管理重要的通知并检视您的通讯记录。」它是怎么做到的呢?借由跟这些第三方软体公司达成协议,串接特殊的API(Application Programming Interface,应用程式介面,用来串接两个不同服务的东西,稍懂技术的人一定都知道),让用户可以一站式的处理来自各方的讯息。
脸书强调,这些资料只是下载存储在用户的手机上,无法被上传到手机商的伺服器上。
原始报导中根本没提到华为、OPPO、TCL、联想!
纽约时报的原始报导中,其实是这么写的:
「Facebook has reached data-sharing partnerships with at least 60 device makers — including Apple, Amazon, BlackBerry, Microsoft and Samsung」
是的,它只写到脸书有分享这个API的厂商有60间,包括「苹果」、「亚马逊」、「黑莓机」、「微软」以及「三星」。
然而,媒体都是嗜血的。今天大家发现,用户对于脸书授权API给这些厂商,似乎没有太大的爆点,于是想办法深入挖掘,终于发现这60家厂商当中,包含4家中国厂商:华为、OPPO、联想、TCL!
整件事一下就变成「国安开后门」层级了呢!果然连美国政府都来关心,要求脸书详细解释。(不过估计不会怎么样,当然,脸书为了平众人之口,决定中断华为存取这项API的权限)
▲2012年起,华为成为全球第一大电信装置制造商。
到底「脸书的API」是什么玩意儿?
我觉得有必要说明一下,到底「脸书的API」是什么东西,为什么它有这么大的争议。
简单讲,脸书的API(或Google的API、来自方方面面的API)存在的价值,都是为了「方便使用者」而存在的,并且强化自家产品的生态系。
例如:我玩游戏时,直接「使用Facebook登入」就能创好帐号,省去花五分钟时间输入一堆资料开帐号的动作。这会让使用者的体验感受大幅提升,同时也强化了脸书的生态系:你如果删除了脸书帐号,连你的游戏都登入不了啰!
用户就是脸书的金山,生态系越稳定,当然越好。越多人用脸书来登入第三方产品、越依赖脸书,脸书在未来就更不容易被淘汰。
不只是脸书,基本上所有的软体公司的目标,都是类似的。
脸书授权特殊API给手机商行之有年
而脸书授权给手机制造商特殊API,其实早从2007年就开始了。当时脸书还没如此发达,手机用户如果可以在「不必开启脸书App、不必打开浏览器」的情况下,就能直接存取到脸书的最新通知、讯息,甚至直接比对手机通讯录上好友对应的脸书帐号,对用户、对脸书、甚至对手机制造商而言,都是好事一件。
例如HTC在古时候曾经有「Friend Stream」功能,又例如古时候的SonyEricsson曾经内建「TimeScape」功能,整合Facebook与Twitter帐号,只要你好友有发文,就下载到你手机上、不必打开App也能观看。
这些都是透过Facebook提供给手机厂商的API所做到的。它们的原理都是,只要你在手机商的内建App上登入脸书帐号,他就可以做到「比对你的通讯录好友」、「接收你好友的相关讯息」等功能,让使用者体验更好。这些资料都存在你的手机上,而不是手机商的伺服器上。
这些资料存在用户手机上,难道不会被华为等中国公司偷偷上传吗?
相信这对许多人而言是个大哉问。我先说我的结论:我不认为华为、OPPO等公司,甚至任何一家手机厂商,会特别开后门上传你的脸书资讯。理由在于:
一、这有风险,被抓到的话很伤商誉。虽然美国政府绘声绘影的说,华为设备会偷回传资料给中国政府,但是这件事自始至终都未经证实,各说各话,更大可能是政治角力的发话。
二、99.99999%的人,根本没有监控价值。
三、若手机厂商真的想监控,根本也不必限脸书的讯息,你所有的手机操作、画面、照片影片甚至键盘输入哪些字,都可以被回传。别忘了,除了中国,美国也有国安局的棱镜计划,2007年开始就进行铺天盖地的网路监控。
四、手机厂商使用脸书API,每一个动作都要取得脸书的授权。这些厂商就像快递员,把货物从「A处」(脸书)送到「B处」(你手机上),原则上快递员是不知道运送的内容物的,除非他刻意拆开来看内容。
▲现在网路发达,大家的隐私是不是越来越没有。
所以脸书在整起事件完全没责任吗?
也不全然。如同前面提到的,今天纽约时报其实是发现了脸书「收紧或关闭私人资料API」的一个漏洞:授权给手机商的API。虽然这些手机商不一定会像剑桥分析那样,恶搞那些透过API取得的数据(按照脸书说法,这些资料只存在用户手机,除非手机商偷开后门:但前面有提到,为了这个开后门的机率不太高),但是API权限开得太多确实可能带来隐私泄露的隐忧。
另外就是,脸书授权这项API给手机厂商使用,是否用户在使用时会收到「User Consent」(用户同意书)?有报导指出,脸书根本忽略了这一块,没取得用户同意就让手机商使用这些资料。
在大家越来越重视网路隐私问题的今天,脸书对手机商的API依然放这么多权限,确实是问题。然而,这真的上升到「用户个资外泄」、「造成国安问题」了吗?恐怕差得远了。估计脸书接下来会对手机商的API也做出权限的限缩,以平息众人之口。
对那些被害妄想症的人来说,最好的方法就是不要使用手机、电脑等任何电子设备,回去过湖滨散记般的田园生活。网路世界很危险,你的每一个动作都被储存在云端,你如果无法接受,最好干脆不要用。
最后,写这篇文章最主要的目的,是提醒你不要轻易的跟着媒体起舞,媒体写稿的人甚至不见得比你懂这些。无论是「60家厂商只拿4家中国厂商说嘴」或者「搞不清楚状况就把脸书API说成国安问题」。
你以为现在打开Chrome、Safari看新闻,Google、Apple没有储存你看了什么吗?不如Say Hello,开心的运用科技产品渡过每一天吧。►►►随时加入观点与讨论,给云论粉丝团按个赞!
●灰狼,媒体工作者,部落客。以上言论不代表本网立场。88论坛欢迎多元的声音与观点,来稿请寄:editor88@ettoday.net