Cómo Facebook interceptó el tráfico cifrado de apps móviles de la competencia

 (doubleagent.net)
2 puntos por GN⁺ 2024-07-29 | 1 comentarios | Compartir por WhatsApp
  • Actualmente hay una demanda colectiva en curso contra Meta y, según documentos judiciales, es posible que la empresa haya violado la Wiretap Act.
  • Esta publicación se basa en documentos judiciales y en un análisis de ingeniería inversa de la app Onavo Protect.
  • Facebook usó un ataque MITM para interceptar el tráfico HTTPS cifrado de los usuarios, al que llamó "ssl bump".
Resumen técnico
  • La app de Android Onavo Protect incluía código que inducía a los usuarios a instalar un certificado CA emitido por "Facebook Research".
  • Este certificado era necesario para que Facebook pudiera descifrar el tráfico TLS.
  • La app distribuida en 2016 incluía un certificado CA de Facebook Research, y algunos seguían siendo válidos hasta 2027.
  • Con la llegada de nuevas versiones de Android, este método dejó de ser utilizable.
  • El dominio de analítica de la app de Snapchat no usaba certificate pinning, por lo que el ataque MITM era posible.
  • Además de estadísticas de uso de apps, había funciones para recopilar datos sensibles, como el IMSI.
Cómo funcionaba
  • Se instalaba un certificado de confianza en el dispositivo, todo el tráfico se enviaba a la infraestructura de Facebook a través de una VPN y luego se descifraba usando el proxy de caché Squid.
  • Se interceptó tráfico de dominios de Snapchat, Amazon y YouTube.
  • Con el tiempo, la tasa de éxito de esta estrategia cayó debido al fortalecimiento de la seguridad en Android.
  • Facebook consideró la API de accesibilidad como alternativa.
Motivación
  • Mark Zuckerberg mencionó que necesitaba analítica confiable sobre Snapchat.
  • Existía la intención de desplegar en otras apps la tecnología para interceptar tráfico de dominios específicos mediante la app VPN Onavo Protect.
  • Facebook adquirió Onavo en 2013 por alrededor de 120 millones de dólares y buscó aprovechar bien esta tecnología.
Análisis técnico
  • La razón por la que se confía en sitios web o servidores remotos mediante HTTPS/TLS es por los certificados públicos almacenados en el almacén de confianza del dispositivo.
  • Si se agrega un certificado autofirmado al almacén de confianza, es posible interceptar tráfico TLS cifrado.
  • A partir de Android 11, la mayoría de las apps dejaron de confiar en certificados agregados por el usuario.
  • La app de Snapchat no usaba certificate pinning para su dominio de analítica.
Conclusión
  • Que Facebook descifrara tráfico HTTPS sin el consentimiento de los usuarios podría violar normas éticas y representar un problema legal.
  • Desde Android 7, las apps cambiaron para no confiar en certificados del almacén de usuario.
  • Facebook intentó recopilar datos sensibles como el IMSI.

Resumen de GN⁺

  • Este artículo explica en detalle el método técnico que Facebook usó para interceptar tráfico de la competencia.
  • Debido al endurecimiento de la seguridad en Android, estos métodos ya no son efectivos.
  • El posible abuso de la API de accesibilidad por parte de Facebook plantea problemas éticos.
  • Entre otros proyectos con funciones similares están las herramientas de análisis de tráfico a través de VPN.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-29
Comentarios de Hacker News

  • Parece que FB les pagó a usuarios de SC para que participaran en una "investigación de mercado" e instalaran un proxy

    • La mayoría de los artículos describen esto como hackeo, pero en realidad no lo es
    • Es probable que los participantes supieran que sus acciones estaban siendo monitoreadas
    • Hay debate sobre si el hecho de que una de las partes del canal de comunicación descifre el cifrado puede considerarse una interceptación

  • Fue muy tonto que empleados de FB hablaran públicamente sobre MITM (ataque de intermediario) y hasta hicieran que otras empresas también lo incluyeran

    • Algo como "Zuck, tengo una idea para hablar sobre la propuesta. Veámonos en persona para discutirla" habría sido mejor

  • El hecho de que hubiera que descargar la app Onavo le daba cierto nivel de elección al usuario

    • Hay dos webviews disponibles en iOS: WKWebview y SFSafariViewController
    • Al hacer clic en enlaces dentro de la app de Facebook, deberían usar SFSafariViewController, pero siguen usando WKWebView
    • A través de WKWebView se puede inyectar JS arbitrario y rastrear el comportamiento del usuario

  • Es la única empresa tecnológica sobre la que no puedo tener una buena opinión cuando se trata de Facebook

    • Cerré mi cuenta de Facebook hace 10-11 años y filtro Facebook de los resultados de búsqueda
    • Sigo usando WhatsApp

  • La demanda colectiva actual contra Meta incluye documentos que alegan violaciones a la Wiretap Act

    • Pero este no es un caso de interceptación, sino una demanda por violaciones a la Sherman Act
    • Durante el proceso de descubrimiento se encontró que Facebook posiblemente violó la Wiretap Act

  • Da la impresión de que Facebook opera como una avanzada de la NSA

  • Debería existir un precedente legal sobre SSLbump

    • Debería haber casos donde se considere delito vigilar el tráfico de red del lado del cliente

  • Un familiar intentó participar en una investigación de mercado, pero al final desistió

    • Era un método que redirigía todo el tráfico de internet mediante VPN y proxy, e instalaba un certificado
    • Me pregunto qué tan significativo es el consentimiento de alguien con poco conocimiento técnico

  • Antes de transmitir información sensible por internet, debe realizarse el intercambio de certificados TLS

  • Es muy probable que actores maliciosos como Meta estén usando muchos "dark patterns"

    • Existe un riesgo de seguridad en el que se puede extraer información sensible a partir de datos de sensores
    • Es posible que Meta y otras empresas estén usando técnicas de interceptación más simples y peores