Global Library Collector - narzędzie Facebooka do skanowania telefonu użytkownika

Jane Manchun Wong, niezależna badaczka mechanizmów bezpieczeństwa, odkryła, że aplikacja Facebooka skanuje w tle biblioteki systemowe użytkownika i wysyła je na serwer należący do tej sieci społecznościowej.

Funkcja ta została nazwana "Global Library Collector" (w skrócie GLC) i znajduje się w kodzie aplikacji. Okresowo skanuje i wysyła metadane bibliotek systemowych na serwer. Jak sprawdziła na przykładzie swojego urządzenia, pobrano z niego 2233 metadanych bibliotek systemowych, a 1162 biblioteki czekały na przesłanie. Na serwerze Facebooka zapisywane są jako powiązane z danym urządzeniem kolekcje. Każda z bibliotek przesyłana jest w postaci skompresowanej, a mianowicie archiwum gzip. Kompresja następuje przed wysłaniem danych na serwer. Użytkownik nie ma żadnej możliwości, aby sprawdzić, co jest pobierane i przesyłane z jego urządzenia.

Jak przyznaje Jane Manchun Wong, nie ma pojęcia, do czego ma służyć takie gromadzenie danych. Początkowo myślała, że ma służyć optymalizacji lub debugowaniu, jednak po przemyśleniu sprawy i dokładniejszym przeanalizowaniu mechanizmu działania doszła do wniosku, że jest to coś w rodzaju robaka. Jeżeli GLC zostało stworzone, aby aplikacja działała lepiej, mechanizmy działania oraz dokładne informacje co do pobieranych danych powinny być dokładnie wytłumaczone przez Facebooka. Inaczej wygląda to po prostu na nielegalne gromadzenie informacji, czyli - po prostu - szpiegowanie. Google przeprowadza podobne skanowanie - używa do tego Play Protect. Ale informuje o tym użytkowników, którzy mają wgląd we wszystko, ponadto jest strona pomocy, wyjaśniająca cały mechanizm działania.

Jak jednak zauważono, znaleziony skaner znajduje się wyłącznie w aplikacji Facebook na Androida. Nie ma on dostępu do prywatnych plików użytkownika, jak np. zdjęcia czy dokumenty. A ponieważ aplikacja może korzystać z bibliotek systemowych, które są dostarczane wraz z Androidem, nie ma w tym przypadku naruszenia prywatności i szpiegowania. Takie informacje mogą natomiast pomóc w analizie wadliwego działania systemu i aplikacji na zrootowanych urządzeniach.