ในงาน 35C3 ปีนี้ Privacy International นำเสนอการศึกษาแอปจำนวนมากใน Google Play Store ที่แอปจำนวนมากส่งข้อมูลให้กับเฟซบุ๊กแม้ผู้ใช้จะไม่ได้ล็อกอินเฟซบุ๊กบนเครื่องเลยก็ตามที เนื่องจากนักพัฒนาจำนวนมากใช้ Facebook SDK และค่ามาตรฐานของเฟซบุ๊กเองจะเป็นการส่งข้อมูลให้บริษัทอยู่แล้ว

รายงานแสดงให้เห็นว่าแอปกว่าครึ่งส่งข้อมูลไปยังเฟซบุ๊กทันทีที่เปิดแอป โดยยังไม่มีการขออนุญาตผู้ใช้ใดๆ ขณะที่แอปบางตัวเช่น KAYAK ส่งข้อมูลมากกว่าปกติมาก โดยส่งข้อมูลการค้นหาเที่ยวบินทุกรายการกลับไปยังเฟซบุ๊กด้วย ระบุทั้ง เมื่อต้นทาง, เมืองปลายทาง, วันเริ่มต้นเดินทาง, วันเดินทางกลับ, ชั้นโดยสาร, จำนวนตั๋ว, และ Google Advertising ID สำหรับการเชื่อมโยงกับบริการโฆษณาอื่น

ข้อมูลที่เฟซบุ๊กได้ไปพร้อมกับ Google Advertising ID (AAID) เป็นเลขประจำตัวผู้ใช้ที่กูเกิลอนุญาตให้บริษัทโฆษณาสามารถเก็บได้ โดยห้ามเก็บข้อมูลระบุตัวตนผู้ใช้โดยตรง เช่น อีเมล, หรือหมายเลข MAC ของเครื่อง ข้อดีของ AAID คือผู้ใช้รีเซ็ตหมายเลขนี้ได้เองเสมอ แต่หากไม่รีเซ็ตเอง หมายเลขนี้ก็จะติดตามตัวได้แทบเท่าๆ กับค่าระบุตัวตนอื่นๆ เช่น อีเมล ผู้ใช้แอนดรอยด์สามารถรีเซ็ตค่าได้เองผ่านเมนู Settings > Google > Ads > Reset advertising ID การเก็บข้อมูลจากแอปจำนวนมาก ทำให้บริการสามารถคาดเดาข้อมูลส่วนตัว เช่น เพศ, อายุ, ศาสนา, หรือความสนใจอื่นๆ ได้

เฟซบุ๊กยอมปรับ SDK ให้สามารถตั้งค่าไม่ให้ส่งข้อมูลกลับบริษัทหลังเปิดแอปได้แล้วใน SDK เวอร์ชั่น 4.34 ที่ออกเมื่อกลางปีที่ผ่านมา (หลัง GDPR มีผลบังคับ) จนทุกวันนี้แอปขนาดใหญ่ก็ยังใช้เวอร์ชั่นเก่ากว่านั้น เช่น Spotify เองใช้ Facebook SDK 4.31 และ Skyscanner ใช้เวอร์ชั่น 4.33 และแม้จะปิดการส่งข้อมูลแล้ว ตัว SDK ก็ยังส่งข้อมูลว่า SDK ถูกโหลดสำเร็จแล้วกลับไปยังเฟซบุ๊กอยู่ดี

ตัวรายงานหนา 50 หน้าระบุถึงข้อสังเกตและคำแนะนำ เช่น กูเกิลควรเตือนให้ผู้ใช้รีเซ็ต AAID ตามระยะเวลา และหาค่าได้ง่ายขึ้น, ส่วนเฟซบุ๊กควรสร้าง SDK ที่ทำให้นักพัฒนาเคารพต่อความเป็นส่วนตัวผู้ใช้เป็นค่าเริ่มต้น ส่วนผู้ใช้ควรรีเซ็ตค่า AAID อยู่เรื่อยๆ, เลือกไม่รับการแสดงโฆษณาแบบส่วนบุคคล, จำกัดสิทธิ์ที่ไม่จำเป็นออกจากแอป หรือเลือกลงแอปสำหรับตัดการเชื่อมต่อกับโดเมน เช่น graph.facebook.com ไปเลย

ที่มา - Privacy International, CCC.de