un blog de Radu Dumitru

asus s5507

►► Black Friday la: Fashion Days, Finestore, PC Garage, evoMAG, Altex, Flanco ◄◄

asus s5507

Facebook a spionat ce fac utilizatorii săi pe Snapchat, YouTube și Amazon, deși acele aplicații criptau traficul propriu

28 Mar 2024  ·

TEHNOLOGIE  ·

21 comentarii

Documente făcute publice de un tribunal arată că Facebook a folosit un truc urât pentru a spiona ce fac utilizatorii rețelei sociale în alte aplicații, precum Snapchat, Amazon și YouTube. Acele aplicații criptau traficul făcut de ele între telefoane și servere, deci Facebook a avut nevoie de o metodă de a trece peste această criptare. Și a găsit-o.

Într-un email din 2016, Zuckerberg le scrie unor subalterni din Facebook:

“Given how quickly they’re growing, it seems important to figure out a new way to get reliable analytics about them. Perhaps we need to do panels or write custom software. You should figure out how to do this.”

Nu-mi pasă cum, dar vreau să meargă!

Și angajații Facebook au făcut-o să meargă. Au folosit un VPN numit Onavo, pe care Facebook îl cumpărase în 2013. Instalat pe telefoanele utilizatorilor, VPN-ul vede traficul făcut prin rețea înainte să fie criptat. Astfel, Facebook a putut avea niște date tip analytics despre activitatea pe Snapchat și apoi Amazon și YouTube.

Ce fel de date? Probabil nu parole sau clipurile la care te uiți. Din analiza traficului de date și a pachetelor trimise prin rețea, poți trage însă o mulțime de concluzii: de câte ori face un utilizator upload de fotografii, la câte clipuri video se uită, de câte ori a accesat pagina de checkout de pe Amazon, semn că a dat o comandă, ce fel de subdomenii accesează pe Amazon, de câte ori intră în mesageria privată din Snapchat etc.

De fapt, în funcție de cum erau construite acele aplicații, poate că era posibil ca Facebook să determine URL-uri sau alte date care ar fi arătat exact la ce produse se uită cineva pe Amazon sau ce clipuri urmărește pe YouTube.

Facebook a numit asta proiectul Ghostbusters. Pentru a aduna date, trebuia ca utilizatorii să instaleze VPN-ul Onavo pe telefoanele sau computerele lor. De ce ar face asta?

Nu știu, dar cred că de fapt nu a fost complicat de pus în practică. Cu suficiente reclame rulate pe Facebook despre avantajele VPN-ului, poți convinge destui oameni să-l instaleze. Plătești câțiva influenceri sau streameri să-l promoveze. Facebook avea practic resurse infinite de promovare. Deja după câteva sute sau mii de instalări, poți trage concluzii statistice bune.

Și probabil doar câțiva din companie știau că este ceva mârșav în spate. În acea perioadă, Facebook era o companie privită destul de bine. Un VPN făcut chiar de Facebook? Probabil l-au promovat și instalat mulți fără nici o problemă, fără a bănui că, în paralel, VPN-ul face un soi de atac man-in-the-middle pentru a spiona anumite aplicații.

Am scris acum câteva săptămâni despre criptare, ce este criptarea end-to-end și de ce contează ea. Scriam acolo că mesajele criptate sunt practic imposibil de decriptat. Un atac de tipul man-in-the-middle le poate intercepta însă înainte de criptare. VPN-ul Facebook, mai degrabă, vedea încotro sunt trimise mesaje criptate. Nu cred că le păsa de conținutul fotografiilor uploadate pe Snapchat, ci de câte ori accesează în medie un utilizator adresa upload-de-fotografie.snapchat.com, să zicem.

Nu toți angajații Facebook au fost de acord cu ideea aceasta:

Inside Facebook, there wasn’t a consensus on whether Project Ghostbusters was a good idea. Some employees, including Jay Parikh, Facebook’s then-head of infrastructure engineering, and Pedro Canahuati, the then-head of security engineering, expressed their concern.

“I can’t think of a good argument for why this is okay. No security person is ever comfortable with this, no matter what consent we get from the general public. The general public just doesn’t know how this stuff works,” Canahuati wrote in an email, included in the court documents.

Facebook a închis Onavo în 2019. O investigație a TechCrunch a arătat atunci că Facebook a plătit adolescenți să instaleze Onavo pentru a le putea spiona apoi obiceiurile și activitatea online. Nu este clar cât timp a durat acțiunea de a monitoriza Snap, Google și Amazon.  De treabă Zuckerberg, nu?

sursa: Facebook.

asus s5507

    21 comentarii

  1. Si acum intrebarea este: putem sa avem incredere in vreunul dintre serviciile de VPN din piata?

      (Citează)

    • Nu, oricum e un tradeoff, folosesti vpn ca sa scapi de niste restrictii puse de siteurile pe care le vizitezi si la schimb dai datele catre VPN. Nu cred ca sunt multi care pica in mizeria de marketing “folositi un VPN pentru privacy”, toti o fac ca sa isi deschida conturi de netflix pe turcia (sau unde o fi mai ieftin), s-a foloseasca produse care sunt IP banned pe locatia lor, etc. etc. Daca chiar vrei VPN for privacy, ti-l faci singur, nici macar nu e greu.

        (Citează)

    • Normal ca am incredere … in VPN-ul personal ce ruleaza pe routerul de acasa.
      Router Asus castigat la un concurs pe nwradu.ro .

        (Citează)

    • Nu.

      TOR e cam minimul pt. un pic de privacy, dar si acolo e cunoscut ca exista exit nodes tinute de organizatii guvernamentale asa ca nu e scutit de monitorizare.

        (Citează)

    • si cum iti faci singur VPN? zici ca nu-i greu.
      chiar, CUM?
      si-ar face toata lumea VPN personal, me included.

        (Citează)

    • Routere cu vpn incorporat, raspeberry pi pe care pui vpnserver, mini desktops, dell optiplex, router cu firmware custom gen openwrt samd.

        (Citează)

    • Nu inteleg care ar fi avantajul de privacy sa iti faci vpn pe un server (conexiune) de acasa (decat ca sa te conectezi remote la el si sa para ca iesi tot “de acasa” cand esti in deplasare, dar privacy ar fi 0).
      Eu ma refeream la un server in cloud (e.g. un ec2 in aws) si un openvpn server instalat acolo, sau ceva similar. Practic tot traficul tau ar fi intre ISP de acasa si sa zicem serverul aws, iar pentru siteuri ar parea ca vii din aws. Acu’ daca cineva e curios de ce ai tu trafic intre tine si un serviciu/server mentinut tot de tine prin cloud, deja ai probleme mult mai mari decat privacy.

        (Citează)

    • Nu e mai nici un avantaj de “privacy” sa ai server vpn acasa. La fel si in cazul in care ai impresia ca daca ai un server vpn aiurea ai parte de privacy. Nu exista 100% privacy cand ai middle man isp-ul, cand folosesti browsere and crap. In cel mai bun caz, daca esti intr-o tara cu legi antipiracy tapene si vrei sa downloadezi un film ceva. Dar si in cazul ala un seedbox e o idee mai buna.

      Personal folosesc vpn server acasa ca sa am acces controlat in reteaua proprie, sa nu dau drumul la toate smartgadgeturile pe net, ceea ce ar fi o ideea cam cretina in ziua de azi. Server e un optiplex cu un intel seria 7, care e si media server, nas samd.

        (Citează)

  2. Interesant că Onavo a fost pe AppStore, iar astăzi unii încearcă să mă convingă cum că e mai bine pentru siguranța și intimitatea mea să nu se poată instala aplicații din afara store-ului Apple.

      (Citează)

  3. Servicitiile de informatii de la noi au aparate cu care pot vedea mesajele criptate, cel putin din WhatsApp.

      (Citează)

  4. De ce ar face asta?

    De proști. Lumea ( vorbesc de civili și oameni cu bune intenții) folosește VPN-uri in modul cel mai casual să nu mai fie spionati de unii ca facebook, de exemplu.
    Cuiva ii trece prin cap ca e o idee buna sa folosesca un VPN de la ăia care il spioneaza și de care vrea să scape.

    putem sa avem incredere in vreunul dintre serviciile de VPN din piata?

    Depinde in ce masura pui intrebarea. Să nu iti vandă datele relevante la marketing si profiling către gunoaie de companii, gen facebook si alti trackeri – da, servicii reputabile pe care le plătesti.
    Sa faci nasoale si sa nu te poată afla un actor statal. Probabil nu.

    Servicitiile de informatii de la noi au aparate cu care pot vedea mesajele criptate, cel putin din WhatsApp

    Whatsapp nu e criptat sa te protejezi de servicii de informatii – aia pot cere doar să le vadă și li le dă Zuck direct și cu tot ce-au mai inregistrat aplicațiile lui pe lângă, dacă dau și ei de-o ciorbă.

      (Citează)

  5. interesant, oarecum se explica de ce le promoveaza youtuberii cu 80-90% discount.

      (Citează)

  6. Vorbim de vremuri mult apuse. Intre timp https a devenit standard. DNS over SSL merge in directia asta.

    Oricum, totul a fost calculat financiar. FB a ramas o companie de miliarde $ profit iar pentru minunea asta nu va plati nici macar unu daune. Asa ca moralitatea e mai scumpa decat chestii de genu asta. Pana la urma trebuie sa facem profit intr-o companie nu?

      (Citează)

  7. cineva:
    Normal ca am incredere … in VPN-ul personal ce ruleaza pe routerul de acasa.
    Router Asus castigat la un concurs pe nwradu.ro .

    Asta are sens doar daca te conectezi prin el cand esti in vacanta. Altfel doar iti scade viteza de internet ca faci o bucla locala.

      (Citează)

  8. Internal documents that revealed Avast was using its Antivirus to harvest browsing data and then sell it at a massive scale

    FTC is fining cybersecurity company Avast $16.5 million.
    https://www.404media.co/impact-ftc-fines-avast-16-5-million-for-selling-browsing-data-harvested-by-antivirus/

      (Citează)

  9. Alex:
    Ar fi misto si o explicatie de ce zici asta. sau doar o crezi si atat fara nici un argument.

    Aici e un articol din 2021 in care se confirma că există tehnologia pentru decriptarea mesajelor, dar că este f scumpă și se așteaptă să primească banii.
    https://www.g4media.ro/dna-vrea-sa-si-cumpere-tehnica-pentru-a-putea-intercepta-whatsapp-bologa-nu-avem-asa-ceva-in-prezent-dar-trebuie-sume-serioase-de-bani-pentru-acest-lucru.html
    Între timp, din mai multe surse, mi s-a confirmat că autoritățile au tehnologia și o folosesc.
    Sunt mai multe articole pe net, ca și poliția a cumpărat software pentru decriptarea mesajelor WhatsApp, telegram …

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus