Facebook’un rakiplerin şifreli mobil uygulama trafiğini nasıl ele geçirdiği

 (doubleagent.net)
2 puan yazan GN⁺ 2024-07-29 | 1 yorum | WhatsApp'ta paylaş
  • Meta’ya karşı şu anda toplu dava sürüyor ve mahkeme belgelerine göre şirketin Wiretap Act’i ihlal etmiş olabileceği görülüyor.
  • Bu yazı, mahkeme belgeleri ile Onavo Protect uygulamasının tersine mühendislik analizine dayanıyor.
  • Facebook, kullanıcıların şifreli HTTPS trafiğini ele geçirmek için MITM saldırısı kullandı ve buna "ssl bump" adını verdi.
Teknik özet
  • Onavo Protect Android uygulaması, kullanıcının "Facebook Research" tarafından verilen bir CA sertifikasını kurmasını teşvik eden kod içeriyordu.
  • Bu sertifika, Facebook’un TLS trafiğini çözebilmesi için gerekliydi.
  • 2016’da dağıtılan uygulama, Facebook Research CA sertifikasını içeriyordu ve bunların bazıları 2027’ye kadar geçerliydi.
  • Yeni Android sürümleri yayımlandıkça bu yöntem artık kullanılamaz hale geldi.
  • Snapchat uygulamasının analiz alan adı certificate pinning kullanmadığı için MITM saldırısı mümkün oldu.
  • Uygulama kullanım istatistiklerinin yanı sıra hassas veriler (ör. IMSI) toplama işlevi de vardı.
Nasıl çalışıyordu
  • Cihaza güvenilir bir sertifika yükleniyor, tüm trafik VPN üzerinden Facebook altyapısına gönderiliyor, ardından Squid caching proxy kullanılarak trafiğin şifresi çözülüyordu.
  • Snapchat, Amazon ve YouTube alan adlarının trafiği ele geçirildi.
  • Zamanla Android’in güvenliğinin güçlendirilmesi nedeniyle bu stratejinin başarı oranı düştü.
  • Facebook, alternatif olarak Accessibility API’yi değerlendirdi.
Motivasyon
  • Mark Zuckerberg, Snapchat hakkında güvenilir analiz gerektiğini söylemişti.
  • Onavo Protect VPN uygulaması üzerinden belirli alan adlarının trafiğini ele geçirme tekniğini başka uygulamalara da dağıtma niyeti vardı.
  • Facebook, Onavo’yu 2013’te yaklaşık 120 milyon dolara satın aldı ve bu teknolojiden etkin biçimde yararlanmak istiyordu.
Teknik analiz
  • HTTPS/TLS üzerinden uzak web sitelerine veya sunuculara güvenilmesinin nedeni, cihazın güven deposunda saklanan herkese açık sertifikalardır.
  • Kendinden imzalı bir sertifika güven deposuna eklenirse şifreli TLS trafiği ele geçirilebilir.
  • Android 11’den itibaren kullanıcı tarafından eklenen sertifikalar çoğu uygulama tarafından güvenilmez hale getirildi.
  • Snapchat uygulaması, analiz alan adı için certificate pinning kullanmıyordu.
Sonuç
  • Facebook’un kullanıcı onayı olmadan HTTPS trafiğinin şifresini çözmesi etik normları ihlal ediyor olabilir ve hukuken sorunlu olabilir.
  • Android 7’den sonra uygulamaların kullanıcı deposundaki sertifikalara güvenmemesi yönünde değişiklik yapıldı.
  • Facebook, IMSI gibi hassas verileri toplamaya çalıştı.

GN⁺ özeti

  • Bu yazı, Facebook’un rakiplerinin trafiğini ele geçirmek için kullandığı teknik yöntemi ayrıntılı biçimde açıklıyor.
  • Android’deki güvenlik güçlendirmeleri nedeniyle bu yöntemler artık geçerli değil.
  • Facebook’un Accessibility API’yi kötüye kullanma ihtimali etik sorunlar doğuruyor.
  • Benzer işlevlere sahip diğer projeler arasında VPN üzerinden trafik analiz araçları bulunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-29
Hacker News görüşleri

  • Görünüşe göre FB, SC kullanıcılarına "pazar araştırmasına" katılmaları ve bir proxy kurmaları için para ödedi

    • Çoğu makale bunu hackleme olarak tasvir etse de, aslında öyle değil
    • Katılımcılar, kendi davranışlarının izlendiğini biliyor olma ihtimali yüksekti
    • İletişim kanalındaki taraflardan birinin şifrelemeyi çözmesinin dinleme sayılıp sayılmayacağı konusunda tartışma var

  • FB çalışanlarının MITM (ortadaki adam saldırısı) hakkında açık açık konuşması ve diğer şirketleri de bunu dahil etmeye teşvik etmesi çok aptalcaydı

    • "Zuck, teklifle ilgili konuşmak için bir fikrim var. Yüz yüze görüşelim" gibi bir ifade daha iyi olurdu

  • Onavo uygulamasını indirmek gerektiği için kullanıcıya bir ölçüde seçim hakkı veriliyordu

    • iOS'ta kullanılabilecek iki webview var: WKWebview ve SFSafariViewController
    • Facebook uygulamasında bir bağlantıya tıklandığında SFSafariViewController kullanılması gerekirken hâlâ WKWebView kullanılıyor
    • WKWebView üzerinden rastgele JS enjekte edilip kullanıcı davranışı izlenebilir

  • Hakkında olumlu fikir sahibi olamadığım tek teknoloji şirketi Facebook

    • 10-11 yıl önce Facebook hesabımı kapattım ve arama sonuçlarında Facebook'u filtreledim
    • WhatsApp'ı ise hâlâ kullanıyorum

  • Meta'ya karşı mevcut toplu dava, Wiretap Act ihlali iddiasını içeren belgeler barındırıyor

    • Ancak bu bir dinleme davası değil; Sherman Act ihlaliyle ilgili bir dava
    • Keşif sürecinde Facebook'un Wiretap Act'i ihlal etmiş olabileceği ortaya çıktı

  • Facebook'un, NSA'in bir ileri karakolu gibi çalıştığı hissine kapılıyorum

  • SSLbump konusunda hukuki emsal olması gerek

    • Müşteri tarafında ağ trafiğini gözetlemeyi suç sayan örnekler olmalı

  • Bir akrabam pazar araştırmasına katılmaya çalışmış ama sonra vazgeçmişti

    • Yöntem, VPN ve proxy üzerinden tüm internet trafiğini yeniden yönlendirmek ve bir sertifika kurmaktı
    • Teknik bilgisi az olan birinin verdiği rızanın ne kadar anlamlı olduğu tartışmalı

  • İnternet üzerinden hassas bilgi göndermeden önce TLS sertifika değişimi yapılmalı

  • Meta gibi kötü niyetli aktörlerin çok sayıda "dark pattern" kullanıyor olması muhtemel

    • Sensör verileri üzerinden hassas bilgilerin çıkarılmasına yol açabilecek güvenlik riskleri var
    • Meta ve diğer şirketlerin daha basit ve daha kötü dinleme teknikleri kullanıyor olması mümkün