Wie Facebook den verschlüsselten mobilen App-Traffic von Konkurrenten abgefangen hat

 (doubleagent.net)
2 Punkte von GN⁺ 2024-07-29 | 1 Kommentare | Auf WhatsApp teilen
  • Gegen Meta läuft derzeit eine Sammelklage, und laut Gerichtsunterlagen könnte das Unternehmen gegen den Wiretap Act verstoßen haben.
  • Dieser Beitrag basiert auf Gerichtsunterlagen und einer Reverse-Engineering-Analyse der App Onavo Protect.
  • Facebook nutzte einen MITM-Angriff, um den verschlüsselten HTTPS-Traffic der Nutzer abzufangen, und bezeichnete dies als "ssl bump".
Technische Zusammenfassung
  • Die Android-App Onavo Protect enthielt Code, der Nutzer dazu brachte, ein von "Facebook Research" ausgestelltes CA-Zertifikat zu installieren.
  • Dieses Zertifikat war erforderlich, damit Facebook den TLS-Traffic entschlüsseln konnte.
  • Eine 2016 verbreitete App enthielt das CA-Zertifikat von Facebook Research; einige davon waren bis 2027 gültig.
  • Mit der Einführung neuer Android-Versionen war diese Methode nicht mehr nutzbar.
  • Die Analyse-Domain der Snapchat-App verwendete kein Certificate Pinning, wodurch ein MITM-Angriff möglich war.
  • Neben Nutzungsstatistiken der App gab es auch Funktionen zum Sammeln sensibler Daten, etwa der IMSI.
Funktionsweise
  • Ein vertrauenswürdiges Zertifikat wurde auf dem Gerät installiert, der gesamte Traffic über ein VPN an die Facebook-Infrastruktur geleitet und anschließend mithilfe des Caching-Proxys Squid entschlüsselt.
  • Traffic zu Domains von Snapchat, Amazon und YouTube wurde abgefangen.
  • Im Laufe der Zeit sank die Erfolgsquote dieser Strategie durch verschärfte Android-Sicherheitsmaßnahmen.
  • Facebook zog die Accessibility API als Alternative in Betracht.
Motivation
  • Mark Zuckerberg erwähnte, dass verlässliche Analysen zu Snapchat benötigt würden.
  • Es bestand die Absicht, die Technik zum Abfangen des Traffics bestimmter Domains über die VPN-App Onavo Protect auch in anderen Apps einzusetzen.
  • Facebook übernahm Onavo 2013 für rund 120 Millionen US-Dollar und wollte diese Technik umfassend nutzen.
Technische Analyse
  • Dass man Remote-Websites oder -Servern über HTTPS/TLS vertraut, liegt an öffentlichen Zertifikaten, die im Trust Store des Geräts gespeichert sind.
  • Fügt man dem Trust Store ein selbst signiertes Zertifikat hinzu, kann verschlüsselter TLS-Traffic abgefangen werden.
  • Seit Android 11 vertrauen die meisten Apps keine vom Nutzer hinzugefügten Zertifikate mehr.
  • Die Snapchat-App verwendete für ihre Analyse-Domain kein Certificate Pinning.
Fazit
  • Dass Facebook ohne Zustimmung der Nutzer deren HTTPS-Traffic entschlüsselte, könnte gegen ethische Normen verstoßen und rechtlich problematisch sein.
  • Seit Android 7 wurde das Verhalten geändert, sodass Apps Zertifikaten aus dem Nutzer-Store nicht mehr vertrauen.
  • Facebook versuchte, sensible Daten wie die IMSI zu sammeln.

Zusammenfassung von GN⁺

  • Dieser Artikel erklärt detailliert die technischen Methoden, die Facebook nutzte, um den Traffic von Konkurrenten abzufangen.
  • Durch die verschärfte Android-Sicherheit sind diese Methoden heute nicht mehr wirksam.
  • Der mögliche Missbrauch der Accessibility API durch Facebook wirft ethische Fragen auf.
  • Ähnliche Funktionen finden sich auch in anderen Projekten, etwa Werkzeugen zur Traffic-Analyse über VPN.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-07-29
Hacker-News-Kommentare

  • FB scheint SC-Nutzern Geld dafür gezahlt zu haben, an einer „Marktforschung“ teilzunehmen und einen Proxy zu installieren

    • Die meisten Artikel stellen das als Hacking dar, tatsächlich ist es das aber nicht
    • Wahrscheinlich wussten die Teilnehmer, dass ihr Verhalten überwacht wurde
    • Es ist umstritten, ob es als Abhören gelten kann, wenn eine Partei eines Kommunikationskanals die Verschlüsselung aufhebt

  • Dass FB-Mitarbeiter öffentlich über MITM (Man-in-the-Middle-Angriff) gesprochen und andere Unternehmen dazu gebracht haben, das ebenfalls einzubeziehen, war extrem dumm

    • Eine Formulierung wie „Zuck, ich habe eine Idee, um über den Vorschlag zu sprechen. Lass uns das persönlich besprechen“ wäre besser gewesen

  • Da man die Onavo-App herunterladen musste, hatten Nutzer in gewissem Maß eine Wahlmöglichkeit

    • Auf iOS gibt es zwei nutzbare Webviews (WKWebview und SFSafariViewController)
    • Beim Klicken auf Links in der Facebook-App sollte SFSafariViewController verwendet werden, stattdessen wird aber weiterhin WKWebView genutzt
    • Über WKWebView kann beliebiges JS injiziert und das Nutzerverhalten verfolgt werden

  • Das ist das einzige Tech-Unternehmen, von dem ich keine gute Meinung haben kann

    • Ich habe mein Facebook-Konto vor 10–11 Jahren geschlossen und Facebook aus den Suchergebnissen herausgefiltert
    • WhatsApp nutze ich aber immer noch

  • Die aktuelle Sammelklage gegen Meta enthält Unterlagen, in denen Verstöße gegen den Wiretap Act behauptet werden

    • Es handelt sich dabei jedoch nicht um einen Abhörfall, sondern um eine Klage wegen Verstößen gegen den Sherman Act
    • Im Discovery-Verfahren wurde offenbar festgestellt, dass Facebook möglicherweise gegen den Wiretap Act verstoßen hat

  • Man bekommt den Eindruck, dass Facebook wie ein Vorposten der NSA operiert

  • Es sollte einen rechtlichen Präzedenzfall zu SSLbump geben

    • Es müsste Fälle geben, in denen die Überwachung von Netzwerkverkehr auf Kundenseite als Straftat eingestuft wurde

  • Ein Verwandter wollte einmal an einer Marktforschung teilnehmen und hat dann aufgegeben

    • Dabei wurde der gesamte Internetverkehr über VPN und Proxy umgeleitet und ein Zertifikat installiert
    • Fraglich ist, wie sinnvoll die Einwilligung von Menschen mit wenig technischem Wissen überhaupt ist

  • Bevor sensible Informationen über das Internet übertragen werden, sollte ein TLS-Zertifikatsaustausch stattfinden

  • Wahrscheinlich nutzen böswillige Akteure wie Meta viele „Dark Patterns“

    • Es bestehen Sicherheitsrisiken, bei denen sich über Sensordaten sensible Informationen extrahieren lassen
    • Meta und andere Unternehmen verwenden möglicherweise noch einfachere und schlechtere Abhörtechniken