- Meta के खिलाफ इस समय एक class action lawsuit चल रहा है, और अदालत के दस्तावेज़ों के अनुसार कंपनी ने संभवतः Wiretap Act का उल्लंघन किया हो सकता है।
- यह पोस्ट अदालत के दस्तावेज़ों और Onavo Protect ऐप की reverse engineering analysis पर आधारित है।
- Facebook ने MITM attack का उपयोग करके यूज़र्स के एन्क्रिप्टेड HTTPS ट्रैफ़िक को इंटरसेप्ट किया, और इसे "ssl bump" नाम दिया।
तकनीकी सारांश
- Onavo Protect Android ऐप में ऐसा code शामिल था जो यूज़र्स को "Facebook Research" द्वारा जारी किया गया CA certificate install करने के लिए प्रेरित करता था।
- यह certificate Facebook को TLS ट्रैफ़िक decrypt करने के लिए आवश्यक था।
- 2016 में वितरित किए गए ऐप में Facebook Research CA certificate शामिल था, जिनमें से कुछ 2027 तक वैध थे।
- Android के नए versions आने के बाद यह तरीका अब उपयोग योग्य नहीं रहा।
- Snapchat ऐप के analytics domains में certificate pinning इस्तेमाल नहीं की गई थी, इसलिए MITM attack संभव था।
- ऐप usage statistics के अलावा, sensitive data (जैसे IMSI) इकट्ठा करने की क्षमता भी थी।
यह कैसे काम करता था
- डिवाइस पर एक trusted certificate install किया जाता था, फिर सारा ट्रैफ़िक VPN के ज़रिए Facebook infrastructure तक भेजा जाता था, और उसके बाद Squid caching proxy का उपयोग करके ट्रैफ़िक decrypt किया जाता था।
- Snapchat, Amazon, और YouTube domains का ट्रैफ़िक इंटरसेप्ट किया गया था।
- समय के साथ Android की security मजबूत होने के कारण इस रणनीति की सफलता दर घटती गई।
- Facebook ने Accessibility API को एक वैकल्पिक रास्ते के रूप में भी विचार किया था।
प्रेरणा
- Mark Zuckerberg ने कहा था कि Snapchat के बारे में भरोसेमंद analytics की आवश्यकता है।
- Onavo Protect VPN ऐप के माध्यम से specific domains के ट्रैफ़िक को इंटरसेप्ट करने वाली तकनीक को अन्य ऐप्स में deploy करने का इरादा था।
- Facebook ने 2013 में Onavo को लगभग 12 करोड़ डॉलर में अधिग्रहित किया था और इस तकनीक का पूरा लाभ उठाना चाहता था।
तकनीकी विश्लेषण
- HTTPS/TLS के ज़रिए किसी remote website या server पर भरोसा करने का कारण डिवाइस के trust store में संग्रहित public certificates होते हैं।
- यदि trust store में self-signed certificate जोड़ दिया जाए, तो एन्क्रिप्टेड TLS ट्रैफ़िक को इंटरसेप्ट किया जा सकता है।
- Android 11 से अधिकांश ऐप्स में user-added certificates पर भरोसा न करने का बदलाव किया गया।
- Snapchat ऐप ने analytics domains के लिए certificate pinning का उपयोग नहीं किया था।
निष्कर्ष
- यूज़र की सहमति के बिना Facebook द्वारा HTTPS ट्रैफ़िक decrypt करना नैतिक मानकों का उल्लंघन हो सकता है और कानूनी रूप से भी समस्याग्रस्त हो सकता है।
- Android 7 के बाद ऐप्स को user store के certificates पर भरोसा न करने के लिए बदला गया।
- Facebook IMSI जैसे sensitive data इकट्ठा करना चाहता था।
GN⁺ की संक्षिप्त टिप्पणी
- यह लेख विस्तार से बताता है कि Facebook ने प्रतिस्पर्धियों के ट्रैफ़िक को इंटरसेप्ट करने के लिए कौन-सी तकनीकी विधियाँ इस्तेमाल कीं।
- Android की security मजबूत होने के कारण ये तरीके अब प्रभावी नहीं रहे।
- Accessibility API के संभावित दुरुपयोग से गंभीर नैतिक प्रश्न उठते हैं।
- इसी तरह की क्षमताओं वाले अन्य प्रोजेक्ट्स में VPN-आधारित ट्रैफ़िक analysis tools शामिल हैं।
1 टिप्पणियां
Hacker News टिप्पणियाँ
लगता है FB ने SC उपयोगकर्ताओं को "मार्केट रिसर्च" में भाग लेने और proxy install करने के लिए पैसे दिए थे
FB कर्मचारियों का MITM(मैन-इन-द-मिडल attack) के बारे में खुलेआम बात करना, और दूसरी कंपनियों से भी इसे शामिल करने के लिए कहना, बहुत मूर्खतापूर्ण था
उपयोगकर्ता के पास कुछ हद तक विकल्प था, क्योंकि उसे Onavo app डाउनलोड करना पड़ता था
Facebook ही एकमात्र tech company है जिसके बारे में अच्छी राय बनाना मेरे लिए संभव नहीं है
Meta के खिलाफ मौजूदा class action lawsuit में Wiretap Act के उल्लंघन का दावा करने वाले दस्तावेज़ शामिल हैं
ऐसा लगता है कि Facebook, NSA की किसी चौकी की तरह काम कर रहा है
SSLbump पर कोई कानूनी मिसाल होनी चाहिए
एक रिश्तेदार ने कभी market research में भाग लेने की कोशिश की थी, लेकिन बीच में छोड़ दिया
इंटरनेट के ज़रिए संवेदनशील जानकारी भेजने से पहले TLS certificate exchange होना चाहिए
संभव है कि Meta जैसे दुर्भावनापूर्ण पक्ष बहुत सारे "dark patterns" का इस्तेमाल कर रहे हों