Como o Facebook interceptou o tráfego criptografado de apps móveis de concorrentes

 (doubleagent.net)
2 pontos por GN⁺ 2024-07-29 | 1 comentários | Compartilhar no WhatsApp
  • Atualmente há uma ação coletiva em andamento contra a Meta e, segundo documentos judiciais, a empresa pode ter violado a Wiretap Act.
  • Este post se baseia em documentos judiciais e em uma análise de engenharia reversa do app Onavo Protect.
  • O Facebook usou um ataque MITM para interceptar o tráfego HTTPS criptografado dos usuários, chamando isso de "ssl bump".
Resumo técnico
  • O app Android Onavo Protect continha código que induzia os usuários a instalar um certificado CA emitido pelo "Facebook Research".
  • Esse certificado era necessário para que o Facebook descriptografasse o tráfego TLS.
  • O app distribuído em 2016 incluía o certificado Facebook Research CA, e alguns deles eram válidos até 2027.
  • Com o lançamento de novas versões do Android, esse método deixou de ser utilizável.
  • O domínio de analytics do app Snapchat não usava certificate pinning, o que possibilitava o ataque MITM.
  • Além das estatísticas de uso do app, havia funcionalidades para coletar dados sensíveis, como IMSI.
Como funcionava
  • Um certificado confiável era instalado no dispositivo, todo o tráfego era enviado para a infraestrutura do Facebook por meio de uma VPN e, em seguida, descriptografado com o proxy de cache Squid.
  • Tráfego dos domínios de Snapchat, Amazon e YouTube era interceptado.
  • Com o tempo, a taxa de sucesso dessa estratégia caiu devido ao reforço de segurança no Android.
  • O Facebook considerou a API de acessibilidade como alternativa.
Motivação
  • Mark Zuckerberg mencionou a necessidade de analytics confiáveis sobre o Snapchat.
  • Havia a intenção de levar a outras apps, por meio do app VPN Onavo Protect, a tecnologia de interceptar o tráfego de domínios específicos.
  • O Facebook adquiriu a Onavo em 2013 por cerca de US$ 120 milhões e buscou aproveitar bem essa tecnologia.
Análise técnica
  • O motivo de confiarmos em sites ou servidores remotos via HTTPS/TLS é a existência de certificados públicos armazenados no trust store do dispositivo.
  • Se um certificado autoassinado for adicionado ao trust store, torna-se possível interceptar o tráfego TLS criptografado.
  • A partir do Android 11, os certificados adicionados pelo usuário passaram a não ser confiados pela maioria dos apps.
  • O app Snapchat não usava certificate pinning para seu domínio de analytics.
Conclusão
  • O fato de o Facebook ter descriptografado tráfego HTTPS sem o consentimento dos usuários pode violar normas éticas e representar um problema legal.
  • Desde o Android 7, os apps foram alterados para não confiar em certificados do armazenamento do usuário.
  • O Facebook tentou coletar dados sensíveis como IMSI.

Resumo do GN⁺

  • Este artigo explica em detalhes o método técnico usado pelo Facebook para interceptar o tráfego de concorrentes.
  • Com o reforço de segurança do Android, esses métodos não são mais eficazes.
  • O possível abuso da API de acessibilidade pelo Facebook levanta questões éticas.
  • Entre projetos semelhantes, há ferramentas de análise de tráfego via VPN.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-29
Comentários do Hacker News

  • Parece que o FB pagou usuários do SC para participarem de uma "pesquisa de mercado" e instalarem um proxy

    • A maioria dos artigos descreve isso como hacking, mas na prática não é bem assim
    • É bem provável que os participantes soubessem que seu comportamento estava sendo monitorado
    • Há controvérsia sobre se descriptografar a comunicação por uma das partes do canal pode ser considerado interceptação

  • Foi muito estúpido da parte dos funcionários do FB falar publicamente sobre MITM (ataque man-in-the-middle) e ainda incentivar outras empresas a incluí-lo também

    • Algo como "Zuck, tive uma ideia para falar sobre a proposta. Vamos discutir pessoalmente" teria sido melhor

  • Há algum grau de escolha para o usuário, já que era preciso baixar o app Onavo

    • Existem duas webviews disponíveis no iOS: WKWebView e SFSafariViewController
    • Ao clicar em links no app do Facebook, ele deveria usar SFSafariViewController, mas continua usando WKWebView
    • Com WKWebView, é possível injetar JS arbitrário e rastrear o comportamento do usuário

  • É a única empresa de tecnologia sobre a qual não consigo ter uma opinião positiva

    • Fechei minha conta do Facebook há 10-11 anos e filtrei o Facebook dos resultados de busca
    • Ainda uso o WhatsApp

  • A atual ação coletiva contra a Meta inclui documentos que alegam violação da Wiretap Act

    • Mas este não é um caso de interceptação, e sim um processo por violação da Sherman Act
    • Durante a fase de discovery, foi descoberto que o Facebook possivelmente violou a Wiretap Act

  • Dá a impressão de que o Facebook opera como um posto avançado da NSA

  • Deveria haver precedente jurídico sobre SSLbump

    • Deveria existir algum caso que considere crime monitorar o tráfego de rede no lado do cliente

  • Um parente meu quase participou de uma pesquisa de mercado, mas desistiu

    • O método envolvia redirecionar todo o tráfego da internet por VPN e proxy e instalar um certificado
    • Fico em dúvida sobre o quanto o consentimento de alguém com pouco conhecimento técnico realmente vale

  • Antes de transmitir informações sensíveis pela internet, deveria haver uma troca de certificados TLS

  • É bem provável que agentes maliciosos como a Meta estejam usando muitos "dark patterns"

    • Existe um risco de segurança em que dados sensoriais podem ser usados para extrair informações sensíveis
    • É possível que a Meta e outras empresas estejam usando técnicas de interceptação mais simples e piores