Facebook został poddany analizie pod kątem rzekomego zaangażowania w kradzież danych za pośrednictwem VPN.
Analityk techniczny HaxRob, poprzez swoją dogłębną analizę, ujawnił tę kwestię. Dziennikarka techniczna Naomi Brockwell skomentowała ją dalej, ujawniając złożoną sieć przechwytywania danych użytkowników i manipulacji nimi.
Kradzież danych przez Facebooka za pośrednictwem VPN
Dochodzenie HaxRob ujawniło, że Facebook, wykorzystując przejęcie Onavo, zaangażował się w praktyki, które mogą potencjalnie przechwytywać i analizować dane użytkowników przesyłane przez inne aplikacje. Integrując certyfikaty root z urządzeniami mobilnymi użytkowników, Facebook rzekomo mógł monitorować i przechwytywać ruch z niezliczonych aplikacji.
Kontrowersje koncentrują się wokół Onavo. Przed usunięciem ze sklepów z aplikacjami, rzekomo oferowała ona usługi VPN pod pozorem bezpieczeństwa użytkowników. Jednak zarchiwizowane opisy i funkcje aplikacji wskazują na mroczniejszy cel.
W dokumencie sądowym czytamy:
“Ten kod, który zawierał ‘kit’ po stronie klienta do instalowania certyfikatu na urządzeniach mobilnych użytkowników Snapchat, zawierał także niestandardowy kod po stronie serwera oparty na “squid”, dzięki któremu serwery Facebooka tworzyły fałszywe certyfikaty cyfrowe, aby podszyć się pod zaufane serwery analizy Snapchata, YouTuba i Amazona w celu przekierowania i odszyfrowania bezpiecznego ruchu z tych aplikacji dla strategicznej analizy Facebooka.”
Takie działania nie tylko naruszają zaufanie użytkowników, ale także przekraczają granice etycznego korzystania z technologii, jak zauważył HaxRob:
“Aplikacja zdołała nawiązać łączność z serwerami Facebooka, mimo że przedstawiała się jako narzędzie zapewniające bezpieczeństwo użytkowników.”
Komentarze Naomi Brockwell jeszcze bardziej podkreślają powagę sytuacji. Opisała ona działania Facebooka jako “atak man-in-the-middle”, uzyskując dostęp do ruchu SSL i wrażliwych danych użytkowników bez ich zgody.
Brockwell wyjaśnił:
“Wygląda na to, że Facebook przeprowadził atak typu man-in-the-middle, wykorzystując swoją usługę VPN do kradzieży danych z innych aplikacji. Umożliwiło im to wgląd w cały ruch SSL poprzez utworzenie fałszywego certyfikatu cyfrowego w celu podszycia się pod Snapchat, YouTube, Amazon itp.”
Analiza techniczna działania aplikacji Onavo ujawnia alarmujące żądania uprawnień. W tym możliwości nakładania się na inne aplikacje, dostęp do historycznego i usuniętego użycia aplikacji oraz zarządzanie połączeniami telefonicznymi. Pod pretekstem zwiększenia bezpieczeństwa użytkowników, uprawnienia te podnoszą znaczące sygnały ostrzegawcze dotyczące zakresu danych. Danych, do których Facebook może uzyskać dostęp i którymi może manipulować.
Co ważne, praktyka instalowania certyfikatów do przechwytywania ruchu aplikacji pokazuje, jak daleko mogą posunąć się firmy w celu gromadzenia danych użytkowników. Ujawnienie takich praktyk, w tym potencjalnego gromadzenia numerów IMSI abonentów telefonii komórkowej i obszernych danych telemetrycznych zgromadzonych z 10 milionów pobrań aplikacji, odzwierciedla konieczność ścisłego nadzoru regulacyjnego.
Incydent ten nie jest odosobniony. Przypomina on wcześniejsze grzywny, takie jak kara w wysokości 20 milionów dolarów nałożona przez australijską ACCC, podkreślając globalne zaniepokojenie praktykami Facebooka w zakresie przetwarzania danych.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
