Facebook har granskats för sin påstådda inblandning i VPN-datastöld.
Teknikanalytikern HaxRob tog genom sin djupgående analys upp frågan, medan teknikjournalisten Naomi Brockwell kommenterade den ytterligare och avslöjade en komplex webb av avlyssning och manipulation av användardata.
Facebooks alledge datastöld via VPN
HaxRobs undersökning avslöjade att Facebook, genom att utnyttja sitt förvärv av Onavo, använde metoder som potentiellt kunde fånga upp och analysera användardata som överfördes via andra applikationer. Genom att integrera rotcertifikat i användarnas mobila enheter påstods Facebook kunna övervaka och fånga upp trafik från en myriad av appar.
Kontroversen kretsar kring Onavo. Innan den togs bort från appbutikerna erbjöd den VPN-tjänster under täckmantel av användarsäkerhet. Arkiverade beskrivningar och appfunktioner tyder dock på ett mörkare syfte.
“Denna kod, som inkluderade ett “kit” på klientsidan som installerade ett “root”-certifikat på Snapchat-användarnas mobila enheter, inkluderade även anpassad kod på serversidan baserad på “squid” genom vilken Facebooks servrar skapade falska digitala certifikat för att utge sig för att vara betrodda Snapchat-, YouTube- och Amazon-analysservrar för att omdirigera och dekryptera säker trafik från dessa appar för Facebooks strategiska analys”, står det i en domstolsansökan.
Sådana åtgärder bryter inte bara mot användarnas förtroende utan överskrider också gränserna för etisk användning av teknik, som HaxRob påpekade: “Appen lyckades upprätta anslutning tillbaka till Facebooks servrar, trots att den presenterade sig som ett verktyg för användarsäkerhet.”
Läs mer här: Vad är det bästa VPN:et 2024?
Naomi Brockwells kommentarer cementerar ytterligare allvaret i situationen. Hon beskrev Facebooks agerande som en “man-in-the-middle-attack”, som gav åtkomst till SSL-trafik och känsliga användardata utan samtycke.
“Det ser ut som att Facebook gjorde en man-in-the-middle-attack genom att använda sin VPN-tjänst för att stjäla data från andra appar. Detta gjorde det möjligt för dem att se all SSL-trafik genom att skapa ett falskt digitalt certifikat för att utge sig för att vara Snapchat, YouTube, Amazon, etc.”, förklarar Brockwell.
Den tekniska dissekeringen av Onavo-appens funktioner avslöjar alarmerande behörighetsförfrågningar, inklusive överlagringsfunktioner över andra appar, åtkomst till historisk och raderad appanvändning och hantering av telefonsamtal. Under förevändning att öka användarnas säkerhet ger dessa behörigheter upphov till betydande varningssignaler om hur mycket data Facebook kan få tillgång till och manipulera.
Praxis att installera certifikat för att avlyssna apptrafik, även om den hindras av de senaste säkerhetsförbättringarna i Android, visar hur långt företag kan gå för att samla in användardata. Exponeringen av sådana metoder, inklusive den potentiella insamlingen av mobilabonnenters IMSI-nummer och de omfattande telemetridata som samlats in från appens 10 miljoner nedladdningar, återspeglar nödvändigheten av en strikt rättslig tillsyn.
Denna incident är inte isolerad. Den är ett eko av tidigare böter, till exempel de 20 miljoner dollar som Australiens ACCC utdömde, vilket visar på den globala oron över Facebooks datahanteringsrutiner.
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
