灰狼/臉書洩露個資給華為? 媒體別再危言聳聽:不過是個API

▲▼臉書、facebook、推特             。(圖/路透社)

▲網路發達不如開心的使用它。(圖/路透社,下同)

最近有個消息,震撼了媒體圈:臉書居然偷開國安後門給中國手機製造商「華為」、「OPPO」、「聯想」、「TCL」?這消息引發美國政府的擔憂,以及網路上許多人對臉書的撻伐......

我只想說:「媒體危言聳聽夠了沒啊?這不過就是一個API功能啊!」讓我們來搞清楚,這個消息到底怎麼來的吧。

消息的起點:紐約時報

首先,消息的起始點,應該是出自紐約時報6月3日的一篇報導:「Facebook Gave Device Makers Deep Access to Data on Users and Friends.」報導裡面指出,臉書在今年因為「API權限」開得太多,導致了用戶個資被「劍橋分析」給濫用,因此決定關閉這一類的API權限,但是卻出現了漏網之魚:手機製造商。

該報導直接拿「黑莓機」的「Hub App」做比喻,說明用戶一旦在「Hub App」上登入了臉書帳號,該App就能下載到這個用戶的所有好友資料,包括他們的感情狀態、宗教信仰以及即將參加的活動等等。此外,「Hub」甚至被允許進一步存取,這個人「朋友的朋友」有誰:還記得,你臉書發文時可以設定「朋友的朋友」才看得到嗎?

黑莓機的「Hub App」是什麼呢?其實說穿了就是一個資訊整合軟體,它的軟體介紹這樣寫著:「Hub 流暢地整合如 Facebook、Twitter、LinkedIn、WhatsApp、Instagram 及其他應用程式所發出的通知,讓您能管理重要的通知並檢視您的通訊記錄。」

它是怎麼做到的呢?藉由跟這些第三方軟體公司達成協議,串接特殊的API(Application Programming Interface,應用程式介面,用來串接兩個不同服務的東西,稍懂技術的人一定都知道),讓用戶可以一站式的處理來自各方的訊息。

臉書強調,這些資料只是下載存儲在用戶的手機上,無法被上傳到手機商的伺服器上。

原始報導中根本沒提到華為、OPPO、TCL、聯想!

紐約時報的原始報導中,其實是這麼寫的:

「Facebook has reached data-sharing partnerships with at least 60 device makers — including Apple, Amazon, BlackBerry, Microsoft and Samsung」

是的,它只寫到臉書有分享這個API的廠商有60間,包括「蘋果」、「亞馬遜」、「黑莓機」、「微軟」以及「三星」。

然而,媒體都是嗜血的。今天大家發現,用戶對於臉書授權API給這些廠商,似乎沒有太大的爆點,於是想辦法深入挖掘,終於發現這60家廠商當中,包含4家中國廠商:華為、OPPO、聯想、TCL!

整件事一下就變成「國安開後門」層級了呢!果然連美國政府都來關心,要求臉書詳細解釋。(不過估計不會怎麼樣,當然,臉書為了平眾人之口,決定中斷華為存取這項API的權限)

 ▲▼ 華為,Huawei。(圖/路透社)

▲2012年起,華為成為全球第一大電信裝置製造商。

到底「臉書的API」是什麼玩意兒?

我覺得有必要說明一下,到底「臉書的API」是什麼東西,為什麼它有這麼大的爭議。

簡單講,臉書的API(或Google的API、來自方方面面的API)存在的價值,都是為了「方便使用者」而存在的,並且強化自家產品的生態系。

例如:我玩遊戲時,直接「使用Facebook登入」就能創好帳號,省去花五分鐘時間輸入一堆資料開帳號的動作。這會讓使用者的體驗感受大幅提升,同時也強化了臉書的生態系:你如果刪除了臉書帳號,連你的遊戲都登入不了囉!

用戶就是臉書的金山,生態系越穩定,當然越好。越多人用臉書來登入第三方產品、越依賴臉書,臉書在未來就更不容易被淘汰。

不只是臉書,基本上所有的軟體公司的目標,都是類似的。

臉書授權特殊API給手機商行之有年

而臉書授權給手機製造商特殊API,其實早從2007年就開始了。當時臉書還沒如此發達,手機用戶如果可以在「不必開啟臉書App、不必打開瀏覽器」的情況下,就能直接存取到臉書的最新通知、訊息,甚至直接比對手機通訊錄上好友對應的臉書帳號,對用戶、對臉書、甚至對手機製造商而言,都是好事一件。

例如HTC在古時候曾經有「Friend Stream」功能,又例如古時候的SonyEricsson曾經內建「TimeScape」功能,整合Facebook與Twitter帳號,只要你好友有發文,就下載到你手機上、不必打開App也能觀看。

這些都是透過Facebook提供給手機廠商的API所做到的。它們的原理都是,只要你在手機商的內建App上登入臉書帳號,他就可以做到「比對你的通訊錄好友」、「接收你好友的相關訊息」等功能,讓使用者體驗更好。這些資料都存在你的手機上,而不是手機商的伺服器上。

這些資料存在用戶手機上,難道不會被華為等中國公司偷偷上傳嗎?

相信這對許多人而言是個大哉問。我先說我的結論:我不認為華為、OPPO等公司,甚至任何一家手機廠商,會特別開後門上傳你的臉書資訊。理由在於:

一、這有風險,被抓到的話很傷商譽。雖然美國政府繪聲繪影的說,華為設備會偷回傳資料給中國政府,但是這件事自始至終都未經證實,各說各話,更大可能是政治角力的發話。

二、99.99999%的人,根本沒有監控價值。

三、若手機廠商真的想監控,根本也不必限臉書的訊息,你所有的手機操作、畫面、照片影片甚至鍵盤輸入哪些字,都可以被回傳。別忘了,除了中國,美國也有國安局的棱鏡計劃,2007年開始就進行鋪天蓋地的網路監控。

四、手機廠商使用臉書API,每一個動作都要取得臉書的授權。這些廠商就像快遞員,把貨物從「A處」(臉書)送到「B處」(你手機上),原則上快遞員是不知道運送的內容物的,除非他刻意拆開來看內容。

▲▼臉書、facebook、推特             。(圖/路透社)

▲現在網路發達,大家的隱私是不是越來越沒有。

所以臉書在整起事件完全沒責任嗎?

也不全然。如同前面提到的,今天紐約時報其實是發現了臉書「收緊或關閉私人資料API」的一個漏洞:授權給手機商的API。雖然這些手機商不一定會像劍橋分析那樣,惡搞那些透過API取得的數據(按照臉書說法,這些資料只存在用戶手機,除非手機商偷開後門:但前面有提到,為了這個開後門的機率不太高),但是API權限開得太多確實可能帶來隱私洩露的隱憂。

另外就是,臉書授權這項API給手機廠商使用,是否用戶在使用時會收到「User Consent」(用戶同意書)?有報導指出,臉書根本忽略了這一塊,沒取得用戶同意就讓手機商使用這些資料。

大家越來越重視網路隱私問題的今天,臉書對手機商的API依然放這麼多權限,確實是問題。然而,這真的上升到「用戶個資外洩」、「造成國安問題」了嗎?恐怕差得遠了。估計臉書接下來會對手機商的API也做出權限的限縮,以平息眾人之口。

對那些被害妄想症的人來說,最好的方法就是不要使用手機、電腦等任何電子設備,回去過湖濱散記般的田園生活。網路世界很危險,你的每一個動作都被儲存在雲端,你如果無法接受,最好乾脆不要用。

最後,寫這篇文章最主要的目的,是提醒你不要輕易的跟著媒體起舞,媒體寫稿的人甚至不見得比你懂這些。無論是「60家廠商只拿4家中國廠商說嘴」或者「搞不清楚狀況就把臉書API說成國安問題」。

你以為現在打開Chrome、Safari看新聞,Google、Apple沒有儲存你看了什麼嗎?不如Say Hello,開心的運用科技產品渡過每一天吧。

►►►隨時加入觀點與討論,給雲論粉絲團按個讚!

灰狼,媒體工作者,部落客。以上言論不代表本網立場。88論壇歡迎多元的聲音與觀點,來稿請寄:editor88@ettoday.net

讀者迴響

關注我們

回到最上面