- ขณะนี้มีการดำเนินคดีแบบกลุ่มต่อ Meta อยู่ และตามเอกสารของศาล บริษัทอาจละเมิด Wiretap Act
- โพสต์นี้อ้างอิงจากเอกสารของศาลและการวิเคราะห์ย้อนกลับของแอป Onavo Protect
- Facebook ใช้การโจมตีแบบ MITM เพื่อดักจับทราฟฟิก HTTPS ที่เข้ารหัสของผู้ใช้ และเรียกวิธีนี้ว่า "ssl bump"
สรุปเชิงเทคนิค
- แอป Onavo Protect บน Android มีโค้ดที่ชักชวนให้ผู้ใช้ติดตั้ง CA certificate ที่ออกโดย "Facebook Research"
- ใบรับรองนี้จำเป็นต่อการที่ Facebook จะถอดรหัสทราฟฟิก TLS
- แอปที่แจกจ่ายในปี 2016 มี Facebook Research CA certificate รวมอยู่ด้วย และบางใบมีอายุถึงปี 2027
- เมื่อ Android เวอร์ชันใหม่ออกมา วิธีนี้ก็ใช้งานไม่ได้อีกต่อไป
- โดเมน analytics ของแอป Snapchat ไม่ได้ใช้ certificate pinning จึงทำให้การโจมตีแบบ MITM เป็นไปได้
- นอกจากสถิติการใช้งานแอปแล้ว ยังมีความสามารถในการเก็บข้อมูลอ่อนไหว เช่น IMSI
วิธีการทำงาน
- ติดตั้งใบรับรองที่เชื่อถือได้ลงบนอุปกรณ์ ส่งทราฟฟิกทั้งหมดผ่าน VPN ไปยังโครงสร้างพื้นฐานของ Facebook แล้วใช้ Squid caching proxy เพื่อถอดรหัสทราฟฟิก
- มีการดักจับทราฟฟิกจากโดเมนของ Snapchat, Amazon และ YouTube
- เมื่อเวลาผ่านไป ความสำเร็จของกลยุทธ์นี้ลดลงเนื่องจาก Android เสริมความปลอดภัยมากขึ้น
- Facebook เคยพิจารณา Accessibility API เป็นทางเลือก
แรงจูงใจ
- Mark Zuckerberg ระบุว่าต้องการ analytics ที่เชื่อถือได้เกี่ยวกับ Snapchat
- มีเจตนาจะนำเทคนิคการดักจับทราฟฟิกของโดเมนเฉพาะผ่านแอป VPN Onavo Protect ไปใช้กับแอปอื่น
- Facebook เข้าซื้อ Onavo ในปี 2013 ด้วยมูลค่าราว 120 ล้านดอลลาร์ และพยายามใช้ประโยชน์จากเทคโนโลยีนี้อย่างเต็มที่
การวิเคราะห์ทางเทคนิค
- เหตุผลที่เราเชื่อถือเว็บไซต์หรือเซิร์ฟเวอร์ปลายทางผ่าน HTTPS/TLS ได้ เป็นเพราะมี public certificate ที่เก็บอยู่ใน trust store ของอุปกรณ์
- หากเพิ่ม self-signed certificate เข้าไปใน trust store ก็สามารถดักจับทราฟฟิก TLS ที่เข้ารหัสได้
- ตั้งแต่ Android 11 เป็นต้นไป มีการเปลี่ยนให้แอปส่วนใหญ่ไม่เชื่อถือใบรับรองที่ผู้ใช้เพิ่มเอง
- แอป Snapchat ไม่ได้ใช้ certificate pinning สำหรับโดเมน analytics
บทสรุป
- การที่ Facebook ถอดรหัสทราฟฟิก HTTPS ของผู้ใช้โดยไม่ได้รับความยินยอม อาจละเมิดบรรทัดฐานทางจริยธรรมและก่อปัญหาทางกฎหมายได้
- หลัง Android 7 เป็นต้นมา มีการเปลี่ยนให้แอปไม่เชื่อถือใบรับรองจากที่เก็บของผู้ใช้
- Facebook พยายามเก็บข้อมูลอ่อนไหว เช่น IMSI
สรุปโดย GN⁺
- บทความนี้อธิบายอย่างละเอียดถึงวิธีการทางเทคนิคที่ Facebook ใช้เพื่อดักจับทราฟฟิกของคู่แข่ง
- เนื่องจาก Android เสริมความปลอดภัยมากขึ้น วิธีการเหล่านี้จึงใช้ไม่ได้ผลอีกต่อไป
- ความเป็นไปได้ที่ Facebook จะใช้ Accessibility API ในทางที่ผิด ทำให้เกิดคำถามด้านจริยธรรม
- โครงการอื่นที่มีฟังก์ชันคล้ายกัน ได้แก่ เครื่องมือวิเคราะห์ทราฟฟิกผ่าน VPN
1 ความคิดเห็น
ความเห็นจาก Hacker News
ดูเหมือนว่า FB จะจ่ายเงินให้ผู้ใช้ SC เพื่อเข้าร่วม "การวิจัยตลาด" และติดตั้งพร็อกซี
การที่พนักงาน FB พูดเรื่อง MITM (การโจมตีแบบคนกลาง) อย่างเปิดเผย และชักชวนให้บริษัทอื่นทำด้วย เป็นการกระทำที่โง่มาก
ผู้ใช้ยังมีทางเลือกอยู่บ้าง เพราะต้องเป็นฝ่ายดาวน์โหลดแอป Onavo เอง
เป็นบริษัทเทคโนโลยีเพียงแห่งเดียวที่ไม่สามารถมีความเห็นที่ดีต่อ Facebook ได้เลย
คดีฟ้องร้องแบบกลุ่มในปัจจุบันต่อ Meta มีเอกสารที่กล่าวหาการละเมิด Wiretap Act รวมอยู่ด้วย
ทำให้นึกว่า Facebook กำลังทำงานเหมือนฐานปฏิบัติการล่วงหน้าของ NSA
ควรมีบรรทัดฐานทางกฎหมายเกี่ยวกับ SSLbump
มีญาติคนหนึ่งเคยจะเข้าร่วมการวิจัยตลาด แต่สุดท้ายก็ล้มเลิกไป
ก่อนส่งข้อมูลอ่อนไหวผ่านอินเทอร์เน็ต ควรมีการแลกเปลี่ยนใบรับรอง TLS ก่อน
มีความเป็นไปได้สูงที่ผู้ไม่หวังดีอย่าง Meta จะใช้ "dark pattern" อยู่มากมาย