Facebook is onder vuur komen te liggen vanwege zijn vermeende betrokkenheid bij diefstal van VPN-data.
Techanalist HaxRob bracht met zijn diepgaande analyse de kwestie aan het licht, terwijl techjournalist Naomi Brockwell er verder op inging en een complex web van onderschepping en manipulatie van gebruikersdata onthulde.
Facebook’s vermeende diefstal van data via VPN
Het onderzoek van HaxRob onthulde dat Facebook, door gebruik te maken van de overname van Onavo, zich bezighield met praktijken die het mogelijk maakten om data van gebruikers die via andere applicaties werden verzonden, te onderscheppen en te analyseren. Door root-certificaten te integreren in de mobiele apparaten van gebruikers, kon Facebook naar verluidt het verkeer van een groot aantal apps controleren en onderscheppen.
De controverse concentreert zich rond Onavo. Voordat het uit de app stores werd verwijderd, bood het ogenschijnlijk VPN-diensten aan onder het mom van gebruikersveiligheid. Maar gearchiveerde beschrijvingen en functies van de app wijzen op een duisterder doel.
“Deze code, die een client-side “kit” bevatte die een “root” certificaat installeerde op de mobiele apparaten van Snapchat gebruikers, bevatte ook aangepaste server-side code gebaseerd op “squid” waarmee Facebooks servers valse digitale certificaten creëerden om zich voor te doen als vertrouwde Snapchat, YouTube en Amazon analytics servers om beveiligd verkeer van die apps om te leiden en te ontsleutelen voor Facebooks strategische analyse”, zo staat te lezen in een indiening bij de rechtbank.
Dergelijke acties schenden niet alleen het vertrouwen van de gebruiker, maar overschrijden ook de grenzen van ethisch gebruik van technologie, zoals HaxRob opmerkte: “De app slaagde erin om verbinding te maken met de servers van Facebook, ondanks dat hij zichzelf presenteerde als een hulpmiddel voor de veiligheid van de gebruiker.”
Lees meer: Wat is de beste VPN in 2024?
De opmerkingen van Naomi Brockwell maken de ernst van de situatie nog duidelijker. Ze beschreef de acties van Facebook als een “man-in-the-middle-aanval”, waarbij zonder toestemming toegang werd verkregen tot SSL-verkeer en gevoelige data van gebruikers.
“Het lijkt erop dat Facebook een man-in-the-middle aanval heeft gedaan met behulp van hun VPN-service om data van andere apps te stelen. Hierdoor konden ze al het SSL-verkeer zien door een vals digitaal certificaat te maken om zich voor te doen als Snapchat, YouTube, Amazon, etc,” legt Brockwell uit.
De technische ontleding van de werking van de Onavo app onthult alarmerende toestemmingsaanvragen, waaronder overlay-mogelijkheden over andere apps, toegang tot historisch en verwijderd app-gebruik en het beheer van telefoongesprekken. Onder het voorwendsel van het verbeteren van de veiligheid van de gebruiker, werpen deze toestemmingen sterke rode vlaggen op over de omvang van de data waartoe Facebook toegang zou kunnen krijgen en die het zou kunnen manipuleren.
De praktijk van het installeren van certificaten voor het onderscheppen van app-verkeer, gehinderd door recente verbeteringen in de security van Android, laat zien hoe ver bedrijven kunnen gaan om data van gebruikers te verzamelen. De onthulling van dergelijke praktijken, waaronder de mogelijke verzameling van IMSI-nummers van mobiele abonnees en de uitgebreide telemetriegegevens die zijn verzameld door de 10 miljoen downloads van de app, geven aan dat er streng toezicht moet worden gehouden.
Dit incident staat niet op zichzelf. Het is een echo van eerdere boetes, zoals de boete van 20 miljoen dollar die werd opgelegd door de Australische ACCC, en benadrukt de wereldwijde bezorgdheid over de manier waarop Facebook met data omgaat.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
