O Facebook está sob suspeita por seu suposto envolvimento no roubo de dados usando seu app de VPN Onavo.
O analista de tecnologia HaxRob, por meio de sua análise aprofundada, trouxe a questão à tona. Em seguida, a jornalista de tecnologia Naomi Brockwell comentou sobre ela, revelando uma complexa rede de interceptação e manipulação de dados de usuários.
Roubo de dados alardeado pelo Facebook via VPN
A investigação de HaxRob revelou que o Facebook, aproveitando sua aquisição da Onavo, envolveu-se em práticas que poderiam interceptar e analisar dados de usuários transmitidos por outros aplicativos. Ao integrar certificados raiz nos dispositivos móveis dos usuários, suspeita-se que o Facebook poderia monitorar e interceptar o tráfego de uma infinidade de aplicativos.
A controvérsia gira em torno do Onavo. Antes de ser removido das lojas de aplicativos, ele oferecia serviços de VPN sob o pretexto de segurança do usuário. No entanto, as descrições arquivadas e as funcionalidades do aplicativo sugerem um propósito mais obscuro.
“Esse código incluía um ‘kit’ que instalava um certificado ‘raiz’ nos dispositivos móveis dos usuários do Snapchat. Ele também incluía um código personalizado do lado do servidor baseado no ‘squid‘. Por meio dele, os servidores do Facebook criavam certificados digitais falsos para se passar por servidores analíticos confiáveis de, por exemplo, Snapchat, YouTube e Amazon. Em seguida, eles redirecionavam e descriptografavam o tráfego seguro desses aplicativos para análise estratégica do Facebook”, diz um documento judicial.
Tais ações não apenas violam a confiança do usuário, mas também contornam os limites do uso ético da tecnologia, como o HaxRob apontou. “O aplicativo conseguiu estabelecer conectividade de volta aos servidores do Facebook, apesar de se apresentar como uma ferramenta para a segurança do usuário”, disse.
Leia mais: Sofri um golpe, e agora? Como agir em casos de fraude
App cometeu ataque
Os comentários de Naomi Brockwell reforçam ainda mais a gravidade da situação. Ela descreveu as ações do Facebook como um “ataque man-in-the-middle”, acessando o tráfego SSL e dados confidenciais do usuário sem consentimento.
“Parece que o Facebook fez um ataque man-in-the-middle usando seu serviço VPN para roubar dados de outros aplicativos. Isso permitiu que eles vissem todo o tráfego SSL, criando um certificado digital falso para se passar por Snapchat, YouTube, Amazon, etc.”, explicou Brockwell.
A dissecação técnica das operações do aplicativo Onavo revela solicitações de permissões alarmantes, incluindo recursos de sobreposição sobre outros aplicativos, acesso ao histórico e ao uso de aplicativos excluídos e o gerenciamento de chamadas telefônicas. Sob o pretexto de aumentar a segurança do usuário, essas permissões levantam sinais de alerta significativos sobre a extensão dos dados que o Facebook poderia acessar e manipular.
De forma crítica, a prática de instalar certificados para interceptar o tráfego de aplicativos, embora prejudicada pelas recentes melhorias de segurança do Android, mostra até que ponto as empresas podem ir para coletar dados de usuários. A exposição de tais práticas, incluindo a possível coleta de números IMSI de assinantes de dispositivos móveis e os extensos dados de telemetria acumulados a partir dos 10 milhões de downloads do aplicativo, refletem o imperativo de uma supervisão regulatória rigorosa.
Esse incidente não é isolado. Ele ecoa multas anteriores, como a penalidade de US$ 20 milhões imposta pela ACCC da Austrália, destacando a preocupação global com as práticas de manipulação de dados do Facebook.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.