Facebook er kommet i søgelyset for sin påståede involvering i VPN-datatyveri.
Tech-analytikeren HaxRob har gennem sin dybdegående analyse bragt problemet frem i lyset, mens tech-journalisten Naomi Brockwell har kommenteret det yderligere og afsløret et komplekst net af indsamling og manipulation af brugerdata.
Facebooks påståede datatyveri via VPN
HaxRobs undersøgelse afslørede, at Facebook, ved at udnytte sit opkøb af Onavo, havde en praksis, der potentielt kunne opsnappe og analysere brugerdata, der blev transmitteret på tværs af andre applikationer. Ved at integrere rodcertifikater i brugernes mobile enheder kunne Facebook angiveligt overvåge og opsnappe trafik fra et utal af apps.
Kontroversen er centreret omkring Onavo. Før den blev fjernet fra app-butikkerne, tilbød den tilsyneladende VPN-tjenester under dække af brugersikkerhed. Men arkiverede beskrivelser og app-funktionaliteter antyder et mørkere formål.
“Denne kode, som omfattede et “kit” på klientsiden, der installerede et “rod”-certifikat på Snapchat-brugernes mobile enheder, omfattede også brugerdefineret kode på serversiden baseret på “squid”, hvor Facebooks servere oprettede falske digitale certifikater for at udgive sig for at være betroede Snapchat-, YouTube- og Amazon-analyseservere for at omdirigere og dekryptere sikker trafik fra disse apps til Facebooks strategiske analyse,” står der i et retsdokument.
Sådanne handlinger bryder ikke kun brugernes tillid, men overskrider også grænserne for etisk brug af teknologi, som HaxRob påpegede: “Det lykkedes appen at etablere forbindelse tilbage til Facebooks servere, på trods af at den præsenterede sig selv som et værktøj til brugersikkerhed.”
Læs mere her: Hvad er den bedste VPN i 2024?
Naomi Brockwells kommentarer cementerer situationens alvor yderligere. Hun beskrev Facebooks handlinger som et “man-in-the-middle-angreb”, der gav adgang til SSL-trafik og følsomme brugerdata uden samtykke.
“Det ser ud til, at Facebook udførte et man-in-the-middle-angreb ved at bruge deres VPN-tjeneste til at stjæle data fra andre apps. Det gjorde dem i stand til at se al SSL-trafik ved at oprette et falsk digitalt certifikat, så de kunne udgive sig for at være Snapchat, YouTube, Amazon osv,” forklarer Brockwell.
Den tekniske dissekering af Onavo-appens funktioner afslører alarmerende anmodninger om tilladelser, herunder overlejringsfunktioner over andre apps, adgang til historik, slettet app-brug og styring af telefonopkald. Under påskud af at forbedre brugernes sikkerhed, rejser disse tilladelser betydelige røde flag om omfanget af data, som Facebook kan få adgang til og manipulere.
Praksissen med at installere certifikater til at opsnappe apptrafik, som dog er blevet forhindret af de seneste sikkerhedsforbedringer i Android, viser, hvor langt virksomheder kan gå for at indsamle brugerdata. Afsløringen af en sådan praksis, herunder den potentielle indsamling af mobilabonnenters IMSI-numre og de omfattende telemetridata, der er indsamlet fra appens 10 millioner downloads, afspejler nødvendigheden af et strengt lovgivningsmæssigt tilsyn.
Denne hændelse er ikke isoleret. Den er et ekko af tidligere bøder, som f.eks. bøden på 20 millioner dollars, der blev pålagt af Australiens ACCC, og som understreger den globale bekymring over Facebooks datahåndteringspraksis.
Trusted
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
