德国莱比锡——可能你已不再使用Facebook或者从未使用过Facebook，但它一直在跟踪你——尽管你不同意。

Facebook通过数十个主流Android应用收集非Facebook用户的数据，这些主流Android应用会将用户位置信息和用户个人信息发送给Facebook。据privacy international上周六在35c3上发布的报告显示，这些与Facebook共享数据的应用中，包括Kayak、Yelp和Shazam。

“Facebook通过Facebook Business Tools定期跟踪平台用户、非用户和已注销用户，”该报告称。“这些应用的开发人员通过Facebook软件开发工具包（SDK）与Facebook共享数据。”

Privacy International 研究了34个Android应用，这些应用的安装量级从1000万到5亿不等，并最终发现这些应用通过SDK将用户数据发送到Facebook，而且不同应用传送的数据种类也不同。例如，Kayak会向Facebook发送用户所有的搜索语句。一个名为King James的圣经应用会向Facebook发送用户查看的段落和诗句。

研究人员称，大多数应用都会共享用户的使用情况、应用的打开和关闭、Android设备的型号以及基于语言和时区设置所推理出的用户位置等。

在这些与Facebook共享的敏感数据中，有部分是应用本身自己独有的数据。例如，女性的经期跟踪应用、祷告应用、求职应用和一些适合幼儿的应用数据。还有一些被称为“用户评级”的数据，例如session ID和一些系统变量。

Privacy international指出，不只Facebook这一家会收集用户数据，还有数百家公司都这么做。这些公司收集的数据都会被网络营销公司所使用，以创建用户样本数据。Facebook是仅次于谷歌的的第二大互联网用户跟踪公司。

“我们之所以关注Facebook而不是谷歌或其他公司，是因为对大多数人来说，难以想象LED照明应用和身体跟踪应用也会与Facebook共享数据。特别是对那些有意不使用Facebook的人来说，”Privacy International的研究人员Frederike Kaltheuner在周六的演讲中说到。

Privacy Internationals通过对34个应用隐私信息方面的检查，发现61%的应用都会在用户打开应用的瞬间就把将数据传送到Facebook。而且某些应用发送的数据还非常详细，这对已注销和没有Facebook帐户的人来说非常不友好。

详细报告可在这个链接找到（https://privacyinternational.org/appdata）。

“我们只能检测到有数据被传送。而不知道这些数据会被如何使用。”

Privacy International研究人员Christopher Weatherhead表示，“我们不是来批评应用开发者的。这一切都是因为SDK在不经过用户同意的情况下传输用户数据。”

Facebook SDK有很多开发用途。它允许应用开发人员将他们的应用与Facebook的平台集成在一起。此外，它还包含许多对开发人员有用的组件，例如用户分析、显示广告的功能以及允许用户使用Facebook ID登录应用。

Privacy international询问Facebook其SDK的具体功能时，Facebook指出，应用开发人员可以配置共享数据的选项。

Kaltheuner表示：“Facebook应当对开发者对用户数据的操作负有法律责任，在SDK与Facebook共享数据之前，必须得到用户的同意。”

当ThreatPost要求Facebook对privacy international的这篇报告发表评论时，Facebook发言人做出如下回应：

“对于Facebook的SDK工具，开发人员可以自由选择收集那些信息，不收集哪些信息，或者直到用户同意再收集信息，这取决于开发者的选择。我们还要求开发人员必须合法收集和处理用户信息。最后，我们将指导开发人员如何遵守数据保密法律。”

但是，Facebook也向Privacy International承认，大多数开发人员都使用SDK的默认设置，即在应用启动后共享数据。从5月份开始，当开发者们被强制要求遵守通用数据保护法规时（在收集用户数据之前需要用户同意），就已经引起了他们的反感。

作为回应，Facebook在6月份的SDK版本中添加了一项新功能，使开发人员能够更灵活地关闭收集数据功能或在请求用户允许后再收集数据。然而，即使Facebook做了如此多的改变，但在应用打开SDK初始化后，不管数据分享功能打没打开，SDK仍会发回一个信号。

Kaltheuner表示：“这个发回的信号给了Facebook很多信息，例如人们都在使用什么样的应用，他们何时使用这些应用，所有这些都与用户ID绑定在一起。”据Privacy international的说法，这类数据收集是否符合GDPR法律，还有待研究。

Privacy international提议Facebook进行进一步的变革，提高开发人员的数据保护意识，尽量将所传输的数据量降到最低，并为人们提供更多的数据收集选项。

Kaltheuner说到：“对于开发人员来说，你真的需要集成Facebook的SDK吗？如果你一定需要，那你可以控制它么？你不应该直接使用SDK的默认设置。而且，无论何时设置，都应该对用户公平透明，准确说明你所收集的数据。”

应用开发者对Privacy international这项研究的反应各不相同。

“有些开发者认为我们没有完全理解SDK和它的功能。其他人在法律上也有着完全不同的解释。还有人意识到了这点，并承诺会更新他们的应用。”

Skyscanner和IBM的天气频道（Weather Channel）表示会立即更改SDK的设置。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/how-facebooks-tracks-non-users-via-android-apps/140436/