Documenten bewijzen hoe Facebook Snapchat-gebruikers via vpn afluisterde

Er zijn rechtbankdocumenten verschenen die dieper ingaan op de manier waarop Meta, destijds nog Facebook, het internetverkeer van Snapchat-gebruikers in 2016 kon afluisteren. Het Amerikaanse bedrijf deed dat met behulp van de Onavo-vpn, die Meta in 2013 overnam.

Uit de documenten blijkt dat Meta een intern programma had opgericht met de naam In-App Action Panel. Dit programma zou er op vraag van Mark Zuckerberg, ceo van Meta, zijn gekomen. Het maakte gebruik van een man-in-the-middle-aanval waarbij internetverkeer van Snapchat-gebruikers naar servers van Meta werd omgeleid via de Onavo-vpn, die in 2013 werd overgenomen door Meta. Het is voor het eerst dat de praktijken worden bevestigd, nadat daar al jaren geruchten over gingen.

De servers van Meta beschikten volgens de documenten over valse certificaten waardoor ze zich als analytics-servers van Snapchat konden voordoen. Zo kregen ze toegang tot het versleutelde internetverkeer dat eigenlijk niet voor Meta was bedoeld. Het bedrijf kon op die manier bijvoorbeeld nagaan op welke manieren Snapchat-gebruikers de app gebruikten.

Meta begon in 2016 met deze praktijk en richtte zijn pijlen aanvankelijk enkel op Snapchat-gebruikers. In 2017 en 2018 heeft het bedrijf via dezelfde methode echter ook het versleutelde internetverkeer van en naar YouTube- en Amazon-servers geanalyseerd. Het bedrijf wilde met deze methode een competitief voordeel halen tegenover de concurrerende diensten. Aanklagers claimen in de documenten dat Meta de Wiretap Act zou hebben overtreden. Deze Amerikaanse wet verbiedt het om elektronische communicatie van personen zomaar af te luisteren.

De rechtbankdocumenten bevestigen dat Meta concurrent Snapchat in de gaten hield via de Onavo Protect-app. De Amerikaanse krant The Wall Street Journal schreef in 2017 al dat dit het geval was, maar deed dat toen op basis van eigen bronnen. De vpn-app was dat jaar al door minstens 24 miljoen individuele gebruikers gedownload. In het privacybeleid van de app stond toen dat de app internetverkeer verzamelde, inclusief datavelden en inhoud van berichten. Meta nam de Israëlische vpn-dienst Onavo in 2013 over. Het bedrijf besloot in 2019 om te stoppen met de app.

IT-banen

Reacties (104)

GoBieN-Be 27 maart 2024 16:36

Ik veronderstel dat de VPN app dan een eigen vertrouwd root certificaat toevoegde op het toestel.
Want hoe zou Meta anders kunnen certificaten van snapchat vervalsen?
Dat is wat er namelijk in het artikel staat, en wat nodig is om TLS beveiligd verkeer te onderscheppen.

Dit is enorm vergaand, en natuurlijk meer dan gewoon verzamelen van gegevens van het toestel. Dit lijkt mij inderdaad strafbaar.

NB: Moest snapchat certificate pinning gebruikt hebben zou dit onmogelijk geweest zijn.

[Reactie gewijzigd door GoBieN-Be op 22 juli 2024 23:20]

DDX @GoBieN-Be • 27 maart 2024 17:10

In order to SSL bump Snapchat—and later YouTube and Amazon—Facebook employees created
custom client- and server-side code based on Onavo’s VPN proxy app and server stack. PX 1205 at 1-4. This code, which included a client-side “kit” that installed a “root” certificate on Snapchat
users’ (and later, YouTube and Amazon users’) mobile devices, see PX 414 at 6, PX 26 (PALM011683732) (“we install a root CA on the device and MITM all SSL traffic”), also included custom
server-side code based on “squid” (an open-source web proxy) through which Facebook’s servers
created fake digital certificates to impersonate trusted Snapchat, YouTube, and Amazon analytics
servers to redirect and decrypt secure traffic from those apps for Facebook’s strategic analysis, see
PX 26 at 3-4 (Sep. 12, 2018: “Today we are using the Onavo vpn-proxy stack to deploy squid with
ssl bump the stack runs in edge on our own hosts (onavopp and onavolb) with a really old version
of squid (3.1).”); see generally http://wiki.squid-cache.org/Features/SslBump

pvcholten @DDX • 27 maart 2024 17:45

Ik vind dit dan ook een enorme tekortkoming in Android dat apps zomaar CAs kunnen toevoegen aan de lijst met trusted CAs

Krommetenen @pvcholten • 27 maart 2024 18:11

Wacht even? Moest de user CA selecties niet bevestigen?
Maar goed je drukt tegenwoordig alles door om je apps werkend te krijgen.

neh @pvcholten • 27 maart 2024 18:43

We hebben het hier over iets wat 8 jaar geleden gebeurd is. Volgens mij is dit in recente Android versies helemaal niet mogelijk. Zie bijvoorbeeld https://httptoolkit.com/b...11-trust-ca-certificates/

digital8 @pvcholten • 28 maart 2024 11:36

Niet alleen Android, in de documentatie staat....

“develop[ing] ‘kits’ that can be installed on iOS and Android that intercept
traffic for specific sub-domains, allowing us to read what would otherwise be encrypted traffic so
we can measure in-app usage,”

De vraag is eerder kan dit nog steeds in Android en IOS.?

THETCR @DDX • 27 maart 2024 21:02

Als ik dit goed lees was de code gebaseerd op de Onavo VPN backend en front-end.

Was het dan wel nodig om de VPN app te installeren of hebben ze dit bijvoorbeeld ook toegepast in hun eigen Facebook app?

Aldy @THETCR • 28 maart 2024 17:43

Ik kreeg de indruk dat dit via de FB-app ging. Kan het mis hebben.

locke960 @GoBieN-Be • 27 maart 2024 22:47

Dit lijkt mij inderdaad strafbaar.

Mij ook, indien niet in Amerika dan vast wel in een Europees land.

Ik zou dan ook graag zien dat getroffen Europese gebruikers aangifte gaan doen van 'afluisteren'.
Er is geen reden om dit aan de Amerikanen over te laten.

kozue

Facebook

@locke960 • 27 maart 2024 23:22

En ik zou liever zien dat iedereen eens stopt met het gebruik van Meta spyware. Niks van hun heb je echt nodig. Doorgaan met het gebruik ervan is stilletjes goedkeuring geven aan zulk gedrag. Beter als die beerput nou eens ophoudt met bestaan.

RetepV @locke960 • 28 maart 2024 14:27

Ik zou dan ook graag zien dat getroffen Europese gebruikers aangifte gaan doen van 'afluisteren'.

Hoe moet ik weten of ik "afgeluisterd" ben? Meta zal me van het kastje naar de muur sturen.

Dus in eerste instantie moet de EU hier bovenop inspringen. Als er gerede verdenking is dat dit afluisteren ook bij Europese burgers is gebeurd, dan moet dat voldoende zijn om via de rechter informatie te gaan opeisen van Meta. En dan is het begin er.

GertMenkel @GoBieN-Be • 27 maart 2024 17:40

Ik dacht eerlijk gezegd dat Snapchat gewoon certificate pinning had, maar wellicht werkte die niet naar behoren. Sommige apps pinnen bijvoorbeeld op het serial number van het certificaat, iets dat als derde partij heel lastig te faken is met legitieme certificate authorities, maar triviaal na te maken is als je een eigen root-certificaat importeert.

Overigens verwacht ik dat dit lang niet altijd werkte, zo heeft Android 7 dit soort aanvallen bijvoorbeeld onmogelijk gemaakt zonder opt-in van Snapchat. Wellicht dat het op iOS nog wel werkt, en op oudere Android-apparaten (Android 6 en lager) werkte zo'n aanval wel. Op Android 7 zit er ook een pinning-API ingebakken die deze aanval als het goed is voorkomt, en ik geloof dat iOS iets daarvoor ook al een dergelijke API had geïntroduceerd.

Netrunner @GoBieN-Be • 27 maart 2024 19:06

Ja strafbaar, weet je hoe zuckerberg er mee weg komt? 10 miljoen int zakje van Officier. Met officier afspreken dat ie zegt; i didnt know. Is goed joh zuckerberg, maar niet meer doen he! Het is een grote corrupte bende met al die giganten. Ik verwacht dat ook hier helemaal NIETS mee gedaan wordt. Business as usual.

thePiett

27 maart 2024 16:33

Hoe zit het met WhatsApp?

turbojet80s @thePiett • 27 maart 2024 16:43

Ga er maar vanuit dat dat ook niet te vertrouwen is. Het is end-to-end versleutelde, maar hoeveel endpoints zijn er?

Kenhas @turbojet80s • 27 maart 2024 16:50

Je hebt helemaal geen andere endpoints nodig. Het is end-to-end versleuteld maar als aan beide "end"-en de whatsapp applicatie zit, dan zal versleuteling niet veel uithalen

lenwar

Politiek en recht

@Kenhas • 27 maart 2024 17:19

In principe kan de WA-applicatie prima van ieder gesprek transparant een groepsgesprek maken, met Meta als derde partij. Ik denk dat @turbojet80s daar op doelt. Als de app dat niet weergeeft zie je dat verschil niet.

dimdek @Kenhas • 28 maart 2024 08:35

En je spellingscontrole heeft toch allang mee kunnen lezen, analyseren, suggesties en correcties geven.

willieverhoef @turbojet80s • 27 maart 2024 16:53

Hà, het protocol is goed, maar je deeld gewoon de sleutels met Meta. Dat doe JIJ ook als je het op je pc installeert en Watch, dus een kleine moeite om deze te verkrijgen zonder jouw toestemming.

WhatsappHack

Politiek en recht
Facebook
Privacy
Vpn

@willieverhoef • 27 maart 2024 17:05

PC/Mac krijgen gewoon een eigen keypair, leunen niet op de private key van je toestel o.i.d..

GertMenkel @willieverhoef • 27 maart 2024 17:34

Het systeem van sleutels delen is al een tijdje uit WhatsApp. Verbinding maken met je telefoon deed de desktopapp vroeger wel (en was de reden dat je je telefoon aan moest hebben om te kunnen chatten op de PC) maar sinds een tijdje is dat niet meer de norm. Zolang je geen QR-codes scant van apparaten die een hele oude versie van de client draaien, ben je in principe hiertegen beschermd (als er überhaupt nog support voor dat oude protocol in de app zit, dan).

Natuurlijk zit je onder de streep met een een binary op je telefoon die door Meta gemaakt is, dus als ze de sleutels willen hebben, kunnen ze in theorie een backdoor toevoegen. Er zijn ook open source implementaties die met WhatsApp praten, daar kun je wellicht een veilige client uit knutselen als je daar bang voor bent.

nehal3m @GertMenkel • 27 maart 2024 18:15

Wat betreft dat laatste: de kans is groot dat degene waar je mee praat de gewone client gebruikt in welk geval Meta het gesprek gewoon nog kan volgen.

GertMenkel @nehal3m • 27 maart 2024 23:46

Tja, je kunt hooguit verzekeren dat het verkeer vanaf jouw kant veilig versleuteld is. Voor hetzelfde geld heeft de andere kant een smart speaker die mee staat te luisteren, je kunt nooit meer verzekeren dan je eigen kant, tenzij je met remote attestation gaat werken (en dat is met open software heel moeilijk).

tim085 @turbojet80s • 28 maart 2024 01:46

Ik ga er vanuit dat end-to-end betekent dat het afgesloten is voor derde partijen.
Maw, in een chat kunnen jij, de andere persoon en Meta overal bij.
De beveiliging is er dus om de data voor Meta af te schermen van derden. Niet om de data te beveiligen tussen jou en de andere persoon.

Lennyz @thePiett • 27 maart 2024 18:04

Tja zeg het maar. Ik heb meerdere keren gehad dat ik een onderwerp besprak in Whatsapp en dat ik vervolgens in Instragram daar reclame van kreeg. Toeval?

Zelfde als je een onderwerp bespreekt terwijl Instagram openstaat. Plotseling over dat onderwerp reclame. Toeval?

Ik heb geen aluhoedje, maar dat Meta niet te vertrouwen is met je data is voor mij zeker.

84hannes @Lennyz • 27 maart 2024 20:21

Tja zeg het maar. Ik heb meerdere keren gehad dat ik een onderwerp besprak in Whatsapp en dat ik vervolgens in Instragram daar reclame van kreeg. Toeval?

Ik denk dat ik paranoïde ben, maar jaren geleden (voor e2ee) heb ik dit meegemaakt met WhatsApp en Facebook. Ik heb het nooit over sportschoenen (want ik sport doorgaans in het water) maar toen ik een keer met een collega had afgesproken dat ik zijn sportschoenen kon lenen kreeg ik advertenties voor sportschoenen te zien. Zouden ze echt het lef hebben om hiervoor e2ee te breken? Het lijkt me heel doorzichtig.

PaulHelper @84hannes • 27 maart 2024 23:22

De vraag is natuurlijk waar komt de informatie effectief vandaan. Als je het intoetst bijvoorbeeld met Google Gboard, specialiseert Google dan niet toevallig op je tekst. Het hoeft niet per se te zijn wat je denkt dat het is. Maar er zijn wel veel voorbeelden en aannames voor dit soort praktijken helaas.

vix-ducis @84hannes • 28 maart 2024 08:09

Ik ontken niet dat ze het doen, maar dit is ook wel een veelvoorkomend gevolg van 'Frequency Illusion'.

RetepV @Lennyz • 28 maart 2024 14:39

Tja zeg het maar. Ik heb meerdere keren gehad dat ik een onderwerp besprak in Whatsapp en dat ik vervolgens in Instragram daar reclame van kreeg. Toeval?

Vergeet niet dat bijvoorbeeld Google ook je locatiegegevens gebruikt. En als het ziet dat je voor langere tijd in de buurt van één of meer personen bent geweest, dan gaat het algorithme er van uit dat jullie kennissen zijn en dezelfde interesses hebben. En dan merged het algorithme de interesses van jouw kennissen met de interesses van jouzelf en krijg je reclame voorgeschoteld vanwege dingen die ZIJ hebben gedaan.

Ook zal het algorithme sowieso kijken naar wat er allemaal gebrowsed is in de tijd dat jullie bij elkaar waren en het behandelen als een gezamenlijke interesse.

En nog belangrijker: wat de mensen uit het groepje browsen wanneer ze uit elkaar gaan. Want juist in die paar minuten nadat je uit elkaar gaat, gaan mensen naar meer informatie zoeken.

Op die manier krijg jij 'magisch' onverwachts reclame voorgeschoteld over dingen waar je alleen maar met anderen over hebt gesproken (of misschien niet eens) en nooit over hebt gebrowsed.

Het gaat ZO diep, joh. Die algorithmes zijn al tientallen jaren doorlopend getweaked voor menselijk gedrag in de echte wereld. En ik ga er van uit dat alles legaal is, of op zijn minst zo complex dat niemand meer kan beoordelen of iets wel of niet legaal is.

Dit is natuurlijk verder off-topic, het gaat over Google. Maar natuurlijk doet Meta dezelfde dingen, als ze dat kunnen.

En het illustreert dat bedrijven als Meta en Google meer over je weet dan jij denkt. Wat Meta met deze MITM heeft gedaan was waarschijnlijk wel illegaal (maar dat is nog helemaal niet zeker) of op zijn minst ongewenst. En het illustreert hoe gewetenloos Meta eigenlijk wel niet is.

[Reactie gewijzigd door RetepV op 22 juli 2024 23:20]

Frankyfreeze @thePiett • 27 maart 2024 16:38

Dat is al van Meta sinds ongeveer 2014, dus data onderscheppen vanuit die bron is een stuk simpeler in de praktijk hoewel het concurrentievoordeel dat het je oplevert wel enigszins discutabel is

Triblade_8472 @thePiett • 27 maart 2024 18:14

Gezien deze van Meta is, wat denk je zelf?

Ze zeggen allemaal voor EU gebruikers de accounts te scheiden, maar ik vraag je heel sterk af of dit gebeurt én überhaupt te bewijzen zal zijn.

flurb @Triblade_8472 • 27 maart 2024 22:59

Waarschijnlijk hebben ze het prima gescheiden en kan die setup prima worden geaudit etc, alleen daarna repliceer je het zonder sporen achter te laten naar iedere gewenste locatie voor data mining.

Dus tja, stelt weinig voor.

Ik bedoel feitelijk hebben we het over hackers die met serieuze certificaten lopen te stunten, daarbij ook nog een commerciële dienst van een van hun eigen bedrijven misbruikt en daarbij de privacy van de betreffende klanten volledig tot nul te reduceren van een dienst die juist privacy zou moeten bieden. Tot slot ondermijnen ze ook nog een dienst van een concurrent en dit alles uit zakelijk winstbejag,

Dan ben je best wel af, terwijl je ook nog vrolijk, de heilige maagd marie staat te acteren bij het Amerikaanse congres.
Meneer Zuckerman zou simpelweg een in-reis verbod moeten krijgen voor de EU en celstraf.

low-res @thePiett • 27 maart 2024 17:45

CRYPT_E_REVOCATION_OFFLINE

F5544 27 maart 2024 16:34

Dit bewijst maar eens dat meta toen en nu nog steeds niet te vertrouwen is. Ongeacht wat ze beweren

Vicje @F5544 • 27 maart 2024 16:39

Ik vind het stuitend om te lezen dat al die gasten steeds maar denken boven de wet te kunnen staan en met hun tech van alles doen om elkaar of de consument zoveel mogelijk een poot uit te draaien.

Tweakwondo @Vicje • 27 maart 2024 16:48

Wat ik bijzonder vind is dat zelfs wanneer ze denken boven de wet te staan, ze het ook nog eens proberen en het hun lukt en ermee weg komen wanneer ze gepakt worden. Zo een dienst zou je toch eigenlijk moeten blokkeren totdat zij hun tegenbewijs leveren of kunnen aantonen dat zij wel degelijk de juiste stappen hebben gemaakt etc.. elke keer komt er weer nieuws over meta hoe zij misbruik maken en is meta waardevoller dan ooit..

T-men @Vicje • 27 maart 2024 16:48

Ik vind het stuitend om te lezen dat al die gasten steeds maar denken boven de wet te kunnen staan

Het échte stuitende is dat ze er mee weg komen !

Dit is niet een oeps... foutje. Nee dit was een bewuste aktie. Het concurrentievoordeel is groot, de privacy wordt geschonden, Meta betaalt een relatief (!) kleine boete en gaat lachend over tot de orde van de dag.
Dit soort bewuste (!!) akties zouden de opdrachtgevers (in dit geval Mark Zuckerberg zelf) persoonlijk moeten raken.

OruBLMsFrl @T-men • 27 maart 2024 21:53

Als je hier een class action lawsuit voor start kun je waarschijnlijk fors punatative damages eisen als iets een bewezen illegale actie is. Vraag is zijn er genoeg mensen te vinden die zich hiervoor aanmelden, maar als dat om miljoenen mensen zou gaan uiteindelijk en de boete is een paar duizend dollar per gebruiker dan voelt zelfs meta dat wel ja.

Kurgan @Vicje • 27 maart 2024 17:47

Daar is anders een hele simpele oplossing voor: denk na over wat je deelt en slinger niet je hele leven op internet. Houd in gedachten dat iets op internet zetten hetzelfde is als in een druk stadscentrum door een megafoon gaan roepen, en je hoeft je al een stuk minder zorgen te maken.

Jeebus @Kurgan • 27 maart 2024 18:07

Ik wil via het internet ook graag kunnen communiceren zonder dat equivalent van op een dorpsplein roepen. Gewoon een privé gesprek. Dat is een grondrecht volgens mij.

84hannes @Jeebus • 27 maart 2024 20:25

Gewoon een privé gesprek. Dat is een grondrecht volgens mij.

Het is natuurlijk geen plicht van Meta om dit te faciliteren. Ik hoop dat ze keihard gepakt worden op dit misdadige gedrag, maar dat zal niet zijn omdat ieder communicatiebedrijf verplicht is elke manier van communiceren aan te bieden.

Jeebus @84hannes • 27 maart 2024 20:36

Als ik van whatsapp afstap valt een groot deel van MIJN netwerk weg. Zie mensen maar eens zo ver te krijgen om ook over te stappen. Ik was al gebruiker vóór de overname door facebook. Toen werden er allerlei beloftes gedaan maar het zijn toch leugenaars, blijkt. Iets als privé communicatie zou niet misbruikt mogen worden voor financieel gewin. Signal is het alternatief maar krijgt helaas geen momentum.

84hannes @Jeebus • 27 maart 2024 20:58

Iets als privé communicatie zou niet misbruikt mogen worden voor financieel gewin

Ik zou graag in een wereld leven waar dat zo was, maar ik ben bang dat er dan geen Telegraaf, geen telefoon en geen internet werd geëxploiteerd.

Jeebus @84hannes • 27 maart 2024 21:21

Dat die bestaan bewijst dat het wel kan. Ik heb t ook over misbruik. Moeten we alleen wel gaan betalen. Met geld.

Vicje @Kurgan • 27 maart 2024 18:36

Dit is helemaal geen oplossing voor het feit dat die partijen een loopje nemen met de wet. Jij betrekt je reactie vooral op het individu. Ik heb het over het feit in zijn algemeenheid.

NotWise @Vicje • 27 maart 2024 16:47

Ze komen er mee weg, dus zoeken ze steeds meer de grenzen op. De tamme boetes betalen ze graag,

DrWaltman @Anoniem: 310184 • 27 maart 2024 17:50

Heb je hier informatie over? Dus dat de EU willens en wetens illegale functionaliteiten van meta afneemt?

willieverhoef @F5544 • 27 maart 2024 16:55

Voor mij bewijst dit dat als je geld en macht hebt je er alles aandoet om dat te houden of groter te laten worden. En dit geld voor ALLE machthebbers, in de vorm van bedrijf of regering.

joey82 @F5544 • 27 maart 2024 16:46

geen enkel social media platform is te vertrouwen....

Toet3r @F5544 • 27 maart 2024 16:59

Je kan beter zeggen geen enkele van de (grote) tech bedrijven zijn te vertrouwen

Honytawk 27 maart 2024 16:38

Valt echt geen enkel bedrijf dat overgenomen wordt door Meta nog te vertrouwen?

Ge0force @Honytawk • 27 maart 2024 16:44

Neen.

Anoniem: 138647 @Honytawk • 27 maart 2024 17:35

Nee. Die Zuckerberg is een rat van het ergste soort. Dat die gozer en z'n boevenbende nog niet achter tralies zitten, is niet te bevatten.

Accretion 27 maart 2024 16:43

valse certificaten

Hoe komen ze aan de private key van Snapchat dan?
Of hebben ze een Certificate Authority omgekocht?

M.i. alle certificaten van Facebook per direct intrekken wegens fraude en misbruik; eens kijken hoeveel bezoekers ze nog hebben als elk browser aangeeft dat de pagina niet veilig is (en terecht).

FrostyPeet @Accretion • 27 maart 2024 17:10

Je hoeft niet perse een CA om te kopen.

In theorie kan je een self-signed certificate als vertrouwd plaatsen in de daarvoor bestemde folder. Zulke certificaten zijn bijvoorbeeld te maken met openssl. Self-signed certificates worden vaak in test omgevingen gebruikt. Je kan self-signed certificates elke naam geven die je wilt. Als je een zelfgemaakte root certificate bij de gebruiker naar binnen weet te smokkelen, wordt alles wat "er onder hangt" ook vertrouwd.

Bij de meeste besturingssystemen krijgt de gebruiker wel een vraag of certificate X vertrouwd is als je die wilt importeren.

Accretion @FrostyPeet • 27 maart 2024 17:19

Ja, een app kan toch niet zomaar een certificaat importeren?

Daarnaast neem ik aan dat de Snapchat app niet 'allow self signed' als optie aan heeft?

Bij elk browser wordt bij een self-signed certificaat ook een waarschuwing gegeven.

GertMenkel @Accretion • 27 maart 2024 17:44

Nee, niet zonder prompt. Op iOS is dat een "profiel" dat je met vier klik moet importeren, op Android is dat een certificaat dat je inlaadt via een prompt (dat overigens standaard "verkeerd" staat, namelijk op de modus "clientcertificaat voor enterprise WiFi" en niet "certificaatautoriteit"). Op Android 7+ is de user certificate store ook nog eens opt-in gemaakt, waardoor apps ervoor moeten kiezen om geMitMt te kunnen worden zonder root.

Daar komt overigens wel bij dat vroeger diverse adblockers een lokale CA+proxy gebruikten om advertenties te blokkeren, dus wellicht dat gebruikers via zo'n functie gelokt werden om het certificaat te installeren. Het is niet iets dat je als leek zomaar doet, maar als je zo'n ding wil installeren, zijn daar stap-voor-staphandleidingen voor.

fastedje @Accretion • 27 maart 2024 17:09

Ze hebben die key met een VPN helemaal niet nodig: de.VPN instaleert zijn eigen cert. Dat kan omdat al het verkeer inclusief DNS door de VPN gaat en ze al het verkeer opnieuw encrypten met hun eigen key.

Accretion @fastedje • 27 maart 2024 17:18

Certificaten beveiligen toch tegen m.i.t.m attacks door de server te valideren a.d.h.v. een certificaat?

Facebook kan toch geen certificaat verkrijgen voor 'snapchat.com' en tegen de app liegen dat ze de echte snapchat.com server zijn?

SunnieNL

@Accretion • 27 maart 2024 18:08

Als het certificaat in de certstore van het apparaat wordt opgeslagen of op een andere manier als veilig gemarkeerd wordt door het toestel en de app het certificaat niet zelf controleert op betrouwbaarheid (zoals een bank bv wel doet via de thumbnail en ondertekening), dan denkt de app gewoon met de server verbonden te zijn.

[Reactie gewijzigd door SunnieNL op 22 juli 2024 23:20]

fastedje @SunnieNL • 29 maart 2024 12:26

Hoe dit zou kunnen werken: je VPN installeert een eigen root CA cert. Vervolgens onderscheppen ze DNS requests en genereren on-the-fly een cert voor het domain wat je wilt openen.
Op deze manier kunnen ze al het https verkeer wat door je VPN gaat decrypyen.

lenwar

Politiek en recht

@Accretion • 27 maart 2024 17:33

Dat is nergens voor nodig.
Als je een VPN hebt, gaat ook het DNS-verkeer via die VPN (tenzij dit 'gelekt wordt'. De DNS-server van de VPN-server zegt nu "Deze man in the middle"-server is nu snapchat.com.
Facebook maakt een certificaat voor snapchat.com. De Snapchat app ging nu dus naar de man in the middle van Facebook.

De Snapchat-app controleerde blijkbaar niet of het gebruikte certificaat valide was (ondertekend door een publieke CA, of nog beter. Het bekende certificaat van SnapChat zelf.), maar controleerde alleen de aanwezigheid van een certificaat.
Facebook ontsleuteld het verkeer, analyseert het, versleuteld het weer richting de echte Snapchat enzovoorts.

Bij een browser zou dit niet zomaar lukken, omdat die een aantal standaard CA's kent (die jouw browserboer namens jou heeft gecontroleerd en veilig/betrouwbaar vindt.) Om het dan te laten werken moet je browser een nieuwe CA krijgen.
Deze constructie zie je vaak bij werkgevers. Ze sturen een 'interne CA' naar de browsers (voor interne sites), maar ze hebben ook een transparante proxyserver. Het TLS-verzoek naar www.willekeurigewebsite.nl begint. De proxy genereerd 'on the fly' een certificaat voor die website, en proxied het naar het internet toe. Zo kan een werkgever controleren of de betreffende websites veilig/toegestaan zijn en kunnen ze dus toch nog meekijken waar nodig.
Wat je in de praktijk ziet, is dat het niet werkt voor 'extended vaildation' sites zoals banken en zo, om zo een balans te vinden met de privacy van de werknemers te garanderen.

Anyway. Het feit dat dit met de Snapchat app gebeurde, betekend ook dat Snapchat zelf ook steken had laten vallen. Als zij het goed op orde hadden gehouden, was dit niet gebeurd. (Neemt niet weg dat dit wederom een huftigere streek was van het verwerpelijke Facebook)

Accretion @lenwar • 27 maart 2024 18:54

De Snapchat-app controleerde blijkbaar niet of het gebruikte certificaat valide was (ondertekend door een publieke CA, of nog beter. Het bekende certificaat van SnapChat zelf.),

Exact dit punt bedoel ik, in theorie beveiligd een CA-certificaat +juiste configuratie tegen een man in the middle aanval.

Het kan in theorie niet zo zijn dat Facebook even een self-signed *.snapchat.com in elkaar knutselt en dat gevalideerd wordt door de app of door een CA.

lenwar

Politiek en recht

@Accretion • 27 maart 2024 19:08

Wat nog wel zou kunnen, bedenk ik me nu, is als de VPN-app een CA installeert op je telefoon (op iOS kan dat met een ‘profiel’), een Snapchat de centrale CA’s van iOS gebruikt, dan valt het voor de app niet op.

Dan nog zou een app gewoon hard een bekend certificaat moeten controleren, en niet een ‘valide certificaat met de juiste naam en een valide uitgever’. Dat laatste is leuk voor een website, maar met een app kun je toch vrij makkelijk die extra stap maken en bij roulatie het gewoon meenemen met een update.

McBacon @Accretion • 28 maart 2024 15:49

Het kan in theorie niet zo zijn dat Facebook even een self-signed *.snapchat.com in elkaar knutselt en dat gevalideerd wordt door de app of door een CA.

Niet door een officieel geaccrediteerde publieke CA nee. Maar een eigen niet-geaccrediteerde CA heb je zo opgezet, en als je de telefoon en/of de gebruiker zover krijgt om jouw CA als vertrouwd te markeren dan kan je voor elk domein zonder problemen een "geldig" certificaat uitgeven. Zoals "hey dit heb je nodig voor Facebook ok", hoe veel mensen zullen dat weigeren denk je?

Het hele systeem van certificaten is gebouwd op vertrouwen. Die publieke CA's zijn ook alleen maar legitiem omdat ze een bepaald proces hebben doorlopen, OS-makers (of browsers, of whatever) moeten de certificaten dus ook "hard" in hun software verwerken. Je kan niet afleiden van alléén het certificaat zelf of de CA wel vertrouwd is.

Apps gebruiken normaal gesproken de certificate store van het OS, dus vrijwel elke app kan zo afgeluisterd worden. Tenzij je key pinning gebruikt (of dus een compleet eigen certificate store), maar dat werd bijna 10 jaar geleden volgens mij nog niet zo heel veel gedaan.

Tim AtSharp 27 maart 2024 16:40

Je zou gaan hopen dat het uitkomen van zulke info de totale ondergang en het failliet van Meta inluidt. Echter, zo ver zal het niet komen, teveel belanghebbenden bij wat Meta doet. Handen zullen boven hoofden gehouden worden wanneer nodig...
Jammer

Jim80 @Tim AtSharp • 27 maart 2024 17:14

Inderdaad.... doe dit als klein bedrijf en het is game over.

L0g0ff

27 maart 2024 16:44

Bewust man-in-the-middle inbouwen om gebruikers van andere platformen af te luisteren. Staat hier niet gewoon gevangenis straf voor?

Ik ben toch wel heel benieuwd welke data ze uiteindelijk opgeslagen hebben voor data analyse. Of dit puur was hoe de app gebruikt werd of dat ze ook inhoudelijke berichten/posts hebben hebben opgeslagen en geanalyseerd.

Dragon_Lee @L0g0ff • 27 maart 2024 16:55

Bewust man-in-the-middle inbouwen om gebruikers van andere platformen af te luisteren. Staat hier niet gewoon gevangenis straf voor?

Zou je als persoon eens moeten proberen. Binnen de kortste keren ben je inderdaad van straat gesleurd en er nog een grote schadevergoeding als kostenpost bij...

Ik ben toch wel heel benieuwd welke data ze uiteindelijk opgeslagen hebben voor data analyse. Of dit puur was hoe de app gebruikt werd of dat ze ook inhoudelijke berichten/posts hebben hebben opgeslagen en geanalyseerd.

Reken maar dat als het makkelijk genoeg kon ze het ook wel gedaan hebben...

Ik heb die rare Zuckerberg nooit vertrouwd, en al sinds zijn "idiots are giving me all their private info" commentaar in een interview, lang geleden nu, staat alles "Facebook" op de zwarte lijst.
Helaas ontkom ik niet aan WhatsApp of zou in een isolement terecht komen, zowel bedrijven als vrienden en familie zitten er diep in de lijm verzonken en willen niet anders communiceren.

Triblade_8472 @Dragon_Lee • 27 maart 2024 18:17

Catch22 als niemand begint, gaat niemand over.

Sinds Facebook (nu Meta) WhatsApp gekocht heeft heb ik het niet meer. Desnoods met SMS wordt er nu gecommuniceerd.

Als familie hun best niet doen om te bellen of op een andere manier te communiceren, dan beschouw ik ze niet meer als familie - doei!

Ik zou gestoord zijn om mijn privacy te grabbel te gooien omdat familie mij daartoe dwingt. En familie zou gestuurd zijn mij hiertoe te dwingen.

Anoniem: 718943 @Triblade_8472 • 27 maart 2024 18:38

Wat de fok. Overdrijven is ook een vak. Privacy verkiezen boven familie. Wel de ultieme privacy, kun je lekker in je eentje privé zijn.

Ik heb er voor gekozen wel whatsapp te gebruiken, maar wel op een manier dat dat hele ecosysteem in een jail hangt.
Dan kunnen ze maar zien dat ik wat later met het eten ben, ik kies er bewust voor dat mijn berichten zo goed als publiek zijn, en gebruik het ook als zodanig. Maar het hele spul kan bij geen enkele andere resource. (Niet bij mijn contacten, niet bij mijn locatie en zelfs niet bij het IP van mijn device).
Maar om nu mijn familie af te stoten omdat ze de voorkeur voor een softwarepakketje hebben klinkt erg eenzijdig.

Triblade_8472 @Anoniem: 718943 • 27 maart 2024 19:01

Het is wel waar. Je hebt toch gewoon een telefoon en sms? Er is toch geen probleem?

Mijn familie gebruikt whatsapp tot ze een ons weten. Als ze met mij willen communiceren gebruiken ze de telefoon, sms, telegram of signal. Werkt prima hoor.

En je denkt dat ik overdrijf, maar als iemand, ongeacht of ze familie zijn, mij dwingt bepaalde software te gebruiken\iets te doen wat ik echt niet wil, dan respecteren ze mij niet. En in dat geval neem ik afscheid.

MadEgg @Anoniem: 718943 • 27 maart 2024 19:45

Ik heb WhatsApp 10 jaar terug verwijderd en gebruik tegenwoordig vooral Signal. Familie, vrienden en collega’s zijn gewoon mee, al hebben zij vaak (nog) wel WhatsApp. Er zijn weinig telefoons die wel WhatsApp maar niet Signal kunnen draaien en je kunt zomaar meer dan 1 messenger op je telefoon hebben. Problem solved. Bevalt prima, mis er weinig aan. Alleen de ouderwhatsappgroepjes van de kinderen, maar kan daar nou niet echt wakker van liggen.

Luke_vda 27 maart 2024 16:50

en dan zeggen ze iets over tiktok maar dan tonen ze toch weer aan dat onze eigen social medias net zo slecht zijn als anderen ben ik blij dat ik al lang geen social media meer gebruik of gedownload heb

Baserk 27 maart 2024 16:55

Zuck: Yeah so if you ever need info about anyone at Harvard
Zuck: Just ask.
Zuck: I have over 4,000 emails, pictures, addresses, SNS

[Redacted Friend's Name]: What? How'd you manage that one?

Zuck: People just submitted it.
Zuck: I don't know why.
Zuck: They "trust me"
Zuck: Dumb fucks

https://www.theregister.com/2010/05/14/facebook_trust_dumb/

[Reactie gewijzigd door Baserk op 22 juli 2024 23:20]

n00bs 27 maart 2024 17:22

Een Jan-Modaal in Nederland zou keihard aangepakt worden, boetes van de 4e-5e categorie + gevangenisstraf, laat staan een normale burger in de VS... dan hebben we het over miljoenen claims en 10+ jaar gevangenisstraf.

En wat krijgt Zuckerberg?
Dit is echt om te kotsen... grote bedrijven komen met alles weg.

Op dit item kan niet meer gereageerd worden.

Documenten bewijzen hoe Facebook Snapchat-gebruikers via vpn afluisterde

Lees meer

IT-banen

Reacties (104)

Sorteer op:

Weergave: