Bagaimana Facebook mencegat lalu lintas aplikasi seluler terenkripsi milik pesaing

 (doubleagent.net)
2 poin oleh GN⁺ 2024-07-29 | 1 komentar | Bagikan ke WhatsApp
  • Saat ini sedang berlangsung gugatan class action terhadap Meta, dan menurut dokumen pengadilan, perusahaan tersebut mungkin telah melanggar Wiretap Act.
  • Postingan ini didasarkan pada dokumen pengadilan dan analisis reverse engineering aplikasi Onavo Protect.
  • Facebook menggunakan serangan MITM untuk mencegat lalu lintas HTTPS terenkripsi milik pengguna, dan menamainya "ssl bump".
Ringkasan teknis
  • Aplikasi Android Onavo Protect berisi kode yang mendorong pengguna untuk memasang sertifikat CA yang diterbitkan oleh "Facebook Research".
  • Sertifikat ini diperlukan agar Facebook dapat mendekripsi lalu lintas TLS.
  • Aplikasi yang didistribusikan pada 2016 menyertakan sertifikat Facebook Research CA, dan beberapa di antaranya berlaku hingga 2027.
  • Seiring dirilisnya versi Android yang lebih baru, metode ini tidak lagi bisa digunakan.
  • Domain analitik aplikasi Snapchat tidak menggunakan certificate pinning, sehingga serangan MITM dimungkinkan.
  • Selain statistik penggunaan aplikasi, ada juga fungsi untuk mengumpulkan data sensitif (misalnya IMSI).
Cara kerjanya
  • Dengan memasang sertifikat tepercaya di perangkat, mengirim seluruh lalu lintas melalui VPN ke infrastruktur Facebook, lalu menggunakan proxy caching Squid untuk mendekripsi lalu lintas.
  • Lalu lintas untuk domain Snapchat, Amazon, dan YouTube dicegat.
  • Seiring waktu, tingkat keberhasilan strategi ini menurun karena penguatan keamanan Android.
  • Facebook mempertimbangkan Accessibility API sebagai alternatif.
Motivasi
  • Mark Zuckerberg menyebut perlunya analitik yang dapat diandalkan untuk Snapchat.
  • Ada niat untuk menyebarkan teknik pencegatan lalu lintas domain tertentu melalui aplikasi VPN Onavo Protect ke aplikasi lain.
  • Facebook mengakuisisi Onavo pada 2013 dengan nilai sekitar 120 juta dolar AS, dan berupaya memanfaatkan teknologi tersebut sebaik mungkin.
Analisis teknis
  • Alasan HTTPS/TLS dipercaya untuk situs web atau server jarak jauh adalah karena sertifikat publik yang disimpan di trust store perangkat.
  • Jika sertifikat self-signed ditambahkan ke trust store, lalu lintas TLS terenkripsi dapat dicegat.
  • Mulai Android 11, sertifikat yang ditambahkan pengguna diubah agar tidak dipercaya oleh sebagian besar aplikasi.
  • Aplikasi Snapchat tidak menggunakan certificate pinning untuk domain analitiknya.
Kesimpulan
  • Fakta bahwa Facebook mendekripsi lalu lintas HTTPS pengguna tanpa persetujuan dapat melanggar norma etika dan berpotensi menimbulkan masalah hukum.
  • Sejak Android 7, aplikasi diubah agar tidak memercayai sertifikat dari penyimpanan pengguna.
  • Facebook berupaya mengumpulkan data sensitif seperti IMSI.

Ringkasan GN⁺

  • Artikel ini menjelaskan secara rinci metode teknis yang digunakan Facebook untuk mencegat lalu lintas milik pesaing.
  • Karena penguatan keamanan Android, metode seperti ini tidak lagi efektif.
  • Potensi penyalahgunaan Accessibility API oleh Facebook menimbulkan persoalan etika.
  • Proyek lain dengan fungsi serupa mencakup alat analisis lalu lintas melalui VPN.

Bacaan terkait

1 komentar

 
GN⁺ 2024-07-29
Komentar Hacker News

  • Tampaknya FB membayar pengguna SC agar ikut serta dalam "riset pasar" dan memasang proxy

    • Banyak artikel menggambarkan ini sebagai peretasan, tetapi sebenarnya bukan begitu
    • Kemungkinan besar para peserta tahu bahwa perilaku mereka sedang dipantau
    • Ada perdebatan apakah salah satu pihak dalam saluran komunikasi yang mendekripsi enkripsi dapat dianggap sebagai penyadapan

  • Sangat bodoh bagi karyawan FB untuk membicarakan MITM (serangan man-in-the-middle) secara terbuka, dan bahkan mendorong perusahaan lain untuk ikut memasukkannya

    • Ungkapan seperti "Zuck, aku punya ide untuk membicarakan usulan ini. Mari kita bahas langsung saat bertemu" akan lebih baik

  • Ada tingkat pilihan tertentu bagi pengguna karena mereka harus mengunduh aplikasi Onavo

    • Ada dua webview yang bisa digunakan di iOS, yaitu WKWebView dan SFSafariViewController
    • Saat mengeklik tautan di aplikasi Facebook, seharusnya menggunakan SFSafariViewController, tetapi mereka masih memakai WKWebView
    • Melalui WKWebView, mereka bisa menyuntikkan JS arbitrer dan melacak perilaku pengguna

  • Ini satu-satunya perusahaan teknologi yang tidak bisa membuatku punya opini baik tentangnya

    • Aku menutup akun Facebook sekitar 10-11 tahun lalu dan memfilter Facebook dari hasil pencarian
    • Aku masih memakai WhatsApp

  • Gugatan class action saat ini terhadap Meta mencakup dokumen yang menuduh pelanggaran Wiretap Act

    • Namun ini bukan perkara penyadapan, melainkan gugatan atas pelanggaran Sherman Act
    • Dalam proses discovery, ditemukan kemungkinan bahwa Facebook melanggar Wiretap Act

  • Rasanya Facebook beroperasi seperti pos terdepan NSA

  • Seharusnya ada preseden hukum terkait SSLbump

    • Harus ada kasus yang menetapkan bahwa memantau lalu lintas jaringan di sisi pelanggan adalah tindak pidana

  • Seorang kerabat pernah hampir ikut riset pasar lalu mengurungkannya

    • Caranya adalah dengan mengalihkan semua lalu lintas internet melalui VPN dan proxy lalu memasang sertifikat
    • Sulit untuk tidak mempertanyakan seberapa bermakna persetujuan dari orang yang kurang paham teknologi

  • Sebelum mengirimkan informasi sensitif melalui internet, pertukaran sertifikat TLS harus dilakukan

  • Sangat mungkin pelaku jahat seperti Meta memakai banyak "dark pattern"

    • Ada risiko keamanan bahwa informasi sensitif bisa diekstrak melalui data sensor
    • Mungkin saja Meta dan perusahaan lain memakai teknik penyadapan yang lebih sederhana dan lebih buruk