ผลการวิเคราะห์หลังดักจับทราฟฟิกเครือข่ายของแอปทางการของทำเนียบขาว

• มีการวิเคราะห์ว่าแอป iOS ของทำเนียบขาวรับส่งข้อมูลกับเซิร์ฟเวอร์ใดและข้อมูลอะไรบ้าง โดย จับทราฟฟิก HTTPS จริงของแอปด้วย MITM proxy
• แอปสื่อสารกับ 31 โฮสต์บุคคลที่สาม นอกเหนือจาก whitehouse.gov ได้แก่ Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook, Twitter เป็นต้น
• มีการส่ง ข้อมูลสำหรับทำโปรไฟล์ผู้ใช้อย่างต่อเนื่อง ไปยัง OneSignal เช่น ภาษา เขตเวลา IP รุ่นอุปกรณ์ และจำนวนเซสชัน
• มีการรันสคริปต์ภายนอกผ่านตัวโหลดวิดเจ็ตของ Elfsight และ โค้ดติดตามโฆษณา Google DoubleClick ก็ทำงานภายในแอปด้วย
• แม้ว่าใน privacy manifest ของแอประบุว่า “ไม่มีการเก็บข้อมูล” แต่ในความเป็นจริงมี การติดตามและส่งข้อมูลไปยังบุคคลที่สามจำนวนมาก

ภาพรวมการวิเคราะห์ทราฟฟิกเครือข่าย

• มีการจับและวิเคราะห์ทราฟฟิกเครือข่ายของแอป iOS ทางการของทำเนียบขาวด้วย MITM (man-in-the-middle) proxy
  • ติดตั้ง mitmproxy บน macOS และบันทึกทราฟฟิก HTTPS ทั้งหมดของ iPhone ผ่านพร็อกซี
  • เวอร์ชันแอปคือ v47.0.4 (build 81) และมีการสำรวจครบทุกแท็บ ได้แก่ Home, News, Live, Social, Explore
  • ทราฟฟิกถูกถอดรหัสและบันทึกโดยไม่มีการแก้ไข ใช้งานในลักษณะเดียวกับผู้ใช้ทั่วไป

เซิร์ฟเวอร์ที่แอปเชื่อมต่อ

• ในหนึ่งเซสชัน แอปส่งคำขอไปยัง 31 โฮสต์ที่ไม่ซ้ำกัน (ไม่รวมทราฟฟิกของระบบ iOS)
  • จากคำขอทั้งหมด 206 ครั้ง มีเพียง 48 ครั้ง (23%) ที่ส่งไปยัง whitehouse.gov
  • ที่เหลืออีก 158 ครั้ง (77%) ถูกส่งไปยังบริการบุคคลที่สาม เช่น Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook, Twitter
• ปลายทางของคำขอหลัก
  • whitehouse.gov: WordPress API (ข่าว หน้าแรก แกลเลอรี ฯลฯ)
  • YouTube: ฝังวิดีโอและภาพตัวอย่าง
  • Elfsight: โหลดวิดเจ็ต แอสเซ็ตแบบสแตติก ที่เก็บไฟล์ และ boot API
  • OneSignal: การวิเคราะห์และทำโปรไฟล์ผู้ใช้
  • Facebook/Twitter CDN: โหลดรูปภาพ
  • Google APIs และ DoubleClick: โฆษณาและการติดตาม

ข้อมูลที่ส่งไปยัง OneSignal

• เมื่อเปิดแอป จะมีการส่ง เนื้อหาคำขอ HTTPS ไปยัง api.onesignal.com
  • ข้อมูลที่รวมอยู่ ได้แก่ ภาษา เขตเวลา ประเทศ ที่อยู่ IP เวลาเปิดใช้ครั้งแรกและเวลาที่ใช้งานครั้งล่าสุด รุ่นอุปกรณ์ เวอร์ชันระบบปฏิบัติการ ประเภทเครือข่าย (WiFi/เซลลูลาร์) ผู้ให้บริการเครือข่าย สถานะการ jailbreak จำนวนเซสชัน ระยะเวลาเซสชัน และตัวระบุเฉพาะ
• ทุกครั้งที่เปิดแอปจะมีการส่งคำขอ PATCH หลายครั้งเพื่ออัปเดตโปรไฟล์
  • ในการเปิดครั้งแรกพบคำขอ PATCH 18 ครั้ง และตลอดทั้งเซสชันพบคำขอ OneSignal 9 ครั้ง
  • ลำดับคือใช้ GET เพื่ออ่านโปรไฟล์เดิม → ใช้ PATCH เพื่ออัปเดตข้อมูลเซสชัน
• OneSignal บันทึก IP รายเซสชัน เวลาใช้งาน จำนวนเซสชัน และระยะเวลาเซสชัน อย่างต่อเนื่อง
  • หากที่อยู่ IP เปลี่ยน จะมีการอัปเดตโปรไฟล์
  • ค่า timestamp ของ first_active จะไม่เปลี่ยนหลังจากเวลาที่ติดตั้ง
• ผลลัพธ์คือ OneSignal คงไว้ซึ่ง โปรไฟล์ถาวรรายผู้ใช้ และติดตามรูปแบบการใช้งานแอปกับสภาพแวดล้อมเครือข่าย
• User-Agent ของทราฟฟิกคือ WhiteHouse/81 CFNetwork/3860.400.51 Darwin/25.3.0

ทราฟฟิกที่เกี่ยวข้องกับ Elfsight

• สิ่งที่พบจากการวิเคราะห์แบบสแตติก คือ วิดเจ็ต 6 ตัวและตัวโหลด JavaScript แบบ 2 ขั้น ถูกยืนยันจากทราฟฟิกจริงด้วย
• เมื่อเปิดแท็บ Social แอปจะเชื่อมต่อกับ โดเมนของ Elfsight 13 แห่ง
  • เช่น elfsightcdn.com, core.service.elfsight.com, static.elfsight.com, storage.elfsight.com, widget-data.service.elfsight.com, video-proxy.wu.elfsightcompute.com
• เมื่อส่ง widget ID ผ่านคำขอ /p/boot/ เซิร์ฟเวอร์จะส่งกลับ รายการสคริปต์ที่จะให้รัน (อาร์เรย์ assets)
  • ตัวอย่าง: TikTok → tiktokFeed.js, Instagram → instashow.js, Facebook → facebookFeed.js, YouTube → yottie.js
• ฟังก์ชัน loadAssets ของแอปจะแทรกแต่ละ URL เป็น <script> แล้วรัน
  • เป็นโครงสร้างที่เซิร์ฟเวอร์เป็นผู้ตัดสินว่าโค้ดใดจะถูกเรียกใช้งาน
• เซิร์ฟเวอร์ของ Elfsight ตั้งค่า คุกกี้มากกว่า 10 ตัว ระหว่างเซสชัน
  • รวมถึง elfsight_viewed_recently, คุกกี้ติดตามของ Cloudflare (_cfuvid, __cf_bm) และตัวระบุเซสชัน

การติดตามโฆษณา Google DoubleClick

• เมื่อมีการฝัง YouTube จะมีการโหลด โครงสร้างพื้นฐานสำหรับติดตามโฆษณาของ Google มาด้วย
  • พบคำขอไปยัง googleads.g.doubleclick.net, static.doubleclick.net
• DoubleClick คือ แพลตฟอร์มแสดงโฆษณาและติดตามของ Google และภายในแอปทางการของทำเนียบขาวมี การรันโค้ดติดตามโฆษณา
  • privacy manifest ของแอปไม่ได้ระบุเรื่องนี้ไว้

ความไม่ตรงกันระหว่าง privacy manifest กับการทำงานจริง

• การตั้งค่าความเป็นส่วนตัวที่แอปประกาศไว้:

  NSPrivacyCollectedDataTypes: []
  NSPrivacyTracking: false
  

• การส่งข้อมูลที่พบจากเซสชันจริง:
  • ส่ง รุ่นอุปกรณ์ ระบบปฏิบัติการ IP เขตเวลา ภาษา จำนวนเซสชัน ระยะเวลาเซสชัน และตัวระบุเฉพาะ ไปยัง OneSignal
  • เชื่อมต่อกับโดเมนของ Elfsight 13 แห่ง และได้รับ คุกกี้ติดตามมากกว่า 10 ตัว
  • มีการรันโค้ดติดตามโฆษณา Google DoubleClick
  • มีคำขอไปยัง Facebook, Twitter/X, YouTube และ Google API
• สรุปแล้ว แม้แอปจะแสดงว่า “ไม่มีการเก็บข้อมูล” แต่ในทางปฏิบัติกลับมี การติดตามและส่งข้อมูลไปยังบุคคลที่สามจำนวนมาก

ระเบียบวิธีการวิเคราะห์

• เครื่องมือพร็อกซี: mitmproxy (mitmdump)
• สภาพแวดล้อม: macOS, iPhone(iOS), เครือข่าย WiFi เดียวกัน
• ใบรับรอง: เพิ่ม mitmproxy CA เข้าไปในการตั้งค่าความเชื่อถือของ iOS
• ขอบเขตการจับข้อมูล: ทราฟฟิก HTTPS ที่เกิดขึ้นระหว่างการสำรวจครบทั้ง 5 แท็บของแอป
• มีการแก้ไขข้อมูลหรือไม่: ไม่มี มีเพียงการสังเกตทราฟฟิกเท่านั้น
• การจัดการข้อมูลส่วนบุคคล: มีการปิดบัง IP ตัวระบุอุปกรณ์ OneSignal ID ฯลฯ ทั้งหมดในโพสต์
• ไม่มีการบุกรุกหรือดัดแปลงเซิร์ฟเวอร์ บันทึกเฉพาะการสื่อสารที่แอปส่งออกมาเอง

งานวิจัยที่เกี่ยวข้อง

• รายงานการวิเคราะห์แบบสแตติก ของแอป iOS ทำเนียบขาว
• ผลการวิเคราะห์ของ Thereallo สำหรับเวอร์ชัน Android

แนะนำ Atomic Computer

• Atomic Computer เป็นบริษัทที่ให้บริการด้านไซเบอร์ซีเคียวริตี้ โครงสร้างพื้นฐาน และงานพัฒนา
• ให้บริการประเมินและวิเคราะห์ความปลอดภัยของแอปมือถือ