White House की आधिकारिक ऐप के नेटवर्क ट्रैफ़िक को intercept करके विश्लेषण करने के नतीजे

 (atomic.computer)
2 पॉइंट द्वारा GN⁺ 29 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • White House iOS ऐप के वास्तविक HTTPS ट्रैफ़िक को MITM proxy से capture करके यह विश्लेषण किया गया कि वह किन सर्वरों और किन डेटा के साथ संचार करती है
  • ऐप whitehouse.gov के अलावा Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook, Twitter समेत 31 third-party hosts के साथ संचार करती है
  • OneSignal को भाषा, time zone, IP, device model, session count जैसी user profiling जानकारी लगातार भेजी जाती है
  • Elfsight widget loader के ज़रिए बाहरी scripts चलती हैं, और Google DoubleClick ad tracking code भी ऐप के भीतर चलता है
  • ऐप के privacy manifest में “कोई डेटा संग्रह नहीं” दिखाया गया है, लेकिन वास्तव में कई third-party tracking और data transfer होते हैं

नेटवर्क ट्रैफ़िक विश्लेषण का अवलोकन

  • White House की आधिकारिक iOS ऐप के नेटवर्क ट्रैफ़िक को MITM (man-in-the-middle) proxy से capture करके विश्लेषण किया गया
    • macOS वातावरण में mitmproxy इंस्टॉल किया गया, और iPhone के सभी HTTPS ट्रैफ़िक को proxy के माध्यम से रिकॉर्ड किया गया
    • ऐप संस्करण v47.0.4 (build 81) था, और Home, News, Live, Social, Explore टैब सभी खोले गए
    • ट्रैफ़िक को बिना किसी छेड़छाड़ के decrypt और record किया गया, और सामान्य user usage pattern के अनुसार ही परीक्षण किया गया

ऐप ने किन सर्वरों से संपर्क किया

  • एक single session में ऐप ने 31 unique hosts को requests भेजीं (iOS system traffic को छोड़कर)
    • कुल 206 requests में से केवल 48 (23%) whitehouse.gov को भेजी गईं
    • बाकी 158 (77%) Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook, Twitter जैसे third-party services को भेजी गईं
  • प्रमुख request destinations
    • whitehouse.gov: WordPress API (news, home, gallery आदि)
    • YouTube: video embeds और thumbnails
    • Elfsight: widget loading, static assets, file storage, boot API आदि
    • OneSignal: analytics और user profiling
    • Facebook/Twitter CDN: image loading
    • Google APIs और DoubleClick: ads और tracking

OneSignal को भेजा जाने वाला डेटा

  • ऐप launch होने पर api.onesignal.com को HTTPS request body भेजी जाती है
    • शामिल जानकारी: भाषा, time zone, country, IP address, first launch और last active time, device model, OS version, network type (WiFi/cellular), carrier, jailbreak status, session count, session duration, unique identifier
  • हर app launch पर profile update करने के लिए कई PATCH requests भेजी जाती हैं
    • पहली launch पर 18 PATCH requests, और पूरे session में 9 OneSignal requests दर्ज की गईं
    • क्रम: मौजूदा profile को GET से लाना → session जानकारी को PATCH से update करना
  • OneSignal हर session का IP, activity time, session count, session duration लगातार रिकॉर्ड करता है
    • IP address बदलने पर profile update होती है
    • first_active timestamp install होने के बाद नहीं बदलता
  • नतीजतन OneSignal प्रत्येक user के लिए persistent profile बनाए रखता है और app usage pattern व network environment को track करता है
  • ट्रैफ़िक का User-Agent था WhiteHouse/81 CFNetwork/3860.400.51 Darwin/25.3.0

Elfsight से संबंधित ट्रैफ़िक

  • static analysis में मिले 6 widgets और 2-stage JavaScript loader वास्तविक ट्रैफ़िक में भी दिखे
  • Social टैब खोलने पर ऐप 13 Elfsight domains से संपर्क करती है
    • elfsightcdn.com, core.service.elfsight.com, static.elfsight.com, storage.elfsight.com, widget-data.service.elfsight.com, video-proxy.wu.elfsightcompute.com आदि
  • /p/boot/ request के माध्यम से हर widget ID भेजने पर server चलाए जाने वाले scripts की सूची (assets array) लौटाता है
    • उदाहरण: TikTok → tiktokFeed.js, Instagram → instashow.js, Facebook → facebookFeed.js, YouTube → yottie.js
  • ऐप का loadAssets function हर URL को <script> के रूप में insert करके execute करता है
    • यह संरचना server को तय करने देती है कि कौन-सा code चलेगा
  • Elfsight server session के दौरान 10 से अधिक cookies सेट करता है
    • इनमें elfsight_viewed_recently, Cloudflare tracking cookies (_cfuvid, __cf_bm), session identifiers आदि शामिल हैं

Google DoubleClick ad tracking

  • YouTube embed होने पर Google ad tracking infrastructure भी साथ में load होता है
    • googleads.g.doubleclick.net, static.doubleclick.net requests की पुष्टि हुई
  • DoubleClick Google का ad serving और tracking platform है, White House की आधिकारिक ऐप के भीतर ad tracking code execute होता है
    • ऐप के privacy manifest में इसका उल्लेख नहीं है

privacy manifest और वास्तविक व्यवहार में असंगति

  • ऐप की घोषित privacy settings: 
    NSPrivacyCollectedDataTypes: []
NSPrivacyTracking: false
  • वास्तविक session में देखे गए data transfers:
    • OneSignal को device model, OS, IP, time zone, भाषा, session count, session duration, unique identifier भेजे जाते हैं
    • 13 Elfsight domains से संपर्क और 10 से अधिक tracking cookies प्राप्त होती हैं
    • Google DoubleClick ad tracking code execute होता है
    • Facebook, Twitter/X, YouTube, Google API requests होती हैं
  • नतीजतन ऐप में “कोई डेटा संग्रह नहीं” दिखाया गया है, लेकिन व्यवहार में कई third-party tracking और data transfers होते हैं

विश्लेषण की कार्यप्रणाली

  • proxy tool: mitmproxy (mitmdump)
  • environment: macOS, iPhone(iOS), same WiFi network
  • certificate: mitmproxy CA को iOS trust settings में जोड़ा गया
  • capture scope: ऐप के 5 टैब browse करते समय उत्पन्न HTTPS ट्रैफ़िक
  • tampering: नहीं, ट्रैफ़िक का केवल अवलोकन किया गया
  • privacy handling: IP, device identifiers, OneSignal ID आदि पोस्ट में पूरी तरह mask किए गए
  • कोई server intrusion या tampering नहीं, केवल ऐप की स्वैच्छिक communications रिकॉर्ड की गईं

संबंधित शोध

  • White House iOS ऐप की static analysis report
  • Android version का Thereallo analysis result

Atomic Computer परिचय

  • Atomic Computer एक कंपनी है जो cyber security, infrastructure, और development services प्रदान करती है
  • यह mobile app security assessment और analysis services भी करती है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.