O Facebook está sob escrutínio por seu suposto envolvimento no roubo de dados VPN.
O analista de tecnologia HaxRob, através de sua análise aprofundada, trouxe a questão à luz, enquanto a jornalista de tecnologia Naomi Brockwell comentou mais sobre ela, revelando uma rede complexa de interceptação e manipulação de dados de usuários.
Suposto roubo de dados pelo Facebook via VPN
A investigação da HaxRob revelou que o Facebook, aproveitando a aquisição da Onavo, se envolveu em práticas que poderiam potencialmente interceptar e analisar dados de usuários transmitidos através de outros aplicativos. Ao integrar certificados raiz nos dispositivos móveis dos usuários, o Facebook poderia monitorar e interceptar o tráfego de uma infinidade de aplicativos.
A polêmica gira em torno de Onavo. Antes de ser removido das lojas de aplicativos, aparentemente oferecia serviços VPN sob o pretexto de segurança do usuário. No entanto, as descrições arquivadas e os recursos do aplicativo sugerem um propósito mais sombrio.
"Este código, que incluía um" kit "do lado do cliente que instalava um certificado" raiz "nos dispositivos móveis dos usuários do Snapchat, também incluía código personalizado do lado do servidor baseado em" squid "por meio do qual os servidores do Facebook criavam certificados digitais falsos para se passar por confiáveis. Servidores analíticos Snapchat, YouTube e Amazon para redirecionar e descriptografar o tráfego seguro desses aplicativos para análises estratégicas do Facebook”, diz um processo judicial.
Tais ações não apenas violam a confiança dos usuários, mas também contornam os limites do uso ético da tecnologia, como destacou HaxRob: “O aplicativo conseguiu restabelecer a conectividade com os servidores do Facebook, apesar de se apresentar como uma ferramenta para a segurança dos usuários”.
Leia mais: Qual é a melhor VPN em 2024?
Os comentários de Naomi Brockwell reforçam ainda mais a gravidade da situação. Ele descreveu as ações do Facebook como um “ataque man-in-the-middle”, acessando o tráfego SSL e dados confidenciais do usuário sem consentimento.
"Parece que o Facebook realizou um ataque man-in-the-middle usando seu serviço VPN para roubar dados de outros aplicativos. Isso permitiu que eles vissem todo o tráfego SSL, criando um certificado digital falso para se passar por Snapchat, YouTube, Amazon, etc. .,” Brockwell explicou .
A análise técnica das operações do aplicativo Onavo revela solicitações de permissão alarmantes, incluindo funcionalidade de sobreposição em outros aplicativos, acesso ao uso histórico e excluído de aplicativos e gerenciamento de chamadas telefônicas. Sob o pretexto de melhorar a segurança do usuário, essas permissões levantam sinais de alerta significativos sobre o escopo dos dados que o Facebook pode acessar e manipular.
Crucialmente, a prática de instalar certificados para interceptar o tráfego de aplicativos, embora dificultada pelas recentes melhorias de segurança do Android, mostra até onde as empresas podem ir para coletar dados dos usuários . A exposição de tais práticas, incluindo a potencial recolha de números IMSI de assinantes móveis e os extensos dados de telemetria acumulados a partir dos 10 milhões de downloads da aplicação, reflecte a necessidade de uma supervisão regulamentar rigorosa.
Este incidente não é isolado. Ele ecoa multas anteriores, como a multa de US$ 20 milhões imposta pela ACCC da Austrália, destacando a preocupação global com as práticas de tratamento de dados do Facebook.
O artigo Facebook sob fogo: suspeita de roubo de dados de VPN foi revelada foi visto pela primeira vez em BeInCrypto .