Facebook 因涉嫌參與 VPN 資料竊取而受到審查。
科技分析師 HaxRob 透過深入分析揭露了這個問題,而科技記者 Naomi Brockwell 則進一步評論,揭示了攔截和操縱用戶資料的複雜網路。
Facebook 涉嫌透過 VPN 竊取數據
HaxRob 的調查顯示,Facebook 利用其對 Onavo 的收購,從事了可能攔截和分析透過其他應用程式傳輸的用戶資料的行為。透過將根憑證整合到用戶的行動裝置中,Facebook 可以監控和攔截來自無數應用程式的流量。
爭議圍繞著奧納沃展開。在從應用程式商店下架之前,它顯然打著用戶安全的幌子提供VPN 服務。然而,存檔的描述和應用程式功能表明了一個更黑暗的目的。
該程式碼包括在Snapchat 用戶的行動裝置上安裝“根”證書的客戶端“工具包”,還包括基於自訂“squid”的伺服器端程式碼,Facebook 的伺服器透過該程式碼建立虛假數位證書,以冒充受信任的用戶。 Snapchat、YouTube 和亞馬遜分析伺服器可以重定向和解密來自這些應用程式的安全流量,以進行 Facebook 的戰略分析。」一份法庭文件寫道。
此類行為不僅侵犯了用戶的信任,而且還規避了技術使用道德的限制,正如HaxRob 指出的那樣:「儘管該應用程式將自己呈現為用戶安全的工具,但它還是設法重新建立了與Facebook 伺服器的連接。”
了解更多: 2024 年最好的 VPN 是什麼?
內奧米·布羅克韋爾的言論進一步加劇了局勢的嚴重性。他將 Facebook 的行為描述為“中間人攻擊”,未經同意就訪問 SSL 流量和敏感用戶資料。
「Facebook 似乎利用其 VPN 服務進行了中間人攻擊,從其他應用程式竊取資料。這使他們能夠查看所有 SSL 流量,創建虛假數位憑證來冒充 Snapchat、YouTube、亞馬遜等…」布羅克韋爾解釋道。
對 Onavo 應用程式操作的技術分析揭示了令人震驚的權限請求,包括其他應用程式上的覆蓋功能、存取歷史記錄和已刪除的應用程式使用情況以及電話管理。在提高使用者安全性的幌子下, 這些權限對 Facebook 可以存取和操縱的資料範圍提出了重大危險信號。
至關重要的是,安裝憑證來攔截應用程式流量的做法雖然受到最近 Android 安全改進的阻礙,但表明公司可以在多大程度上收集用戶資料。此類做法的曝光,包括可能收集行動用戶 IMSI 號碼以及從該應用程式 1000 萬次下載中累積的大量遙測數據,反映出嚴格監管的必要性。
這一事件並非個案。這與先前的罰款相呼應,例如澳洲 ACCC 處以 2,000 萬美元的罰款,突顯了全球對 Facebook 資料處理做法的擔憂。