# 페이스북이 경쟁사의 암호화된 모바일 앱 트래픽을 가로챈 방법

> Clean Markdown view of GeekNews topic #16058. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16058](https://news.hada.io/topic?id=16058)
- GeekNews Markdown: [https://news.hada.io/topic/16058.md](https://news.hada.io/topic/16058.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-07-29T09:41:13+09:00
- Updated: 2024-07-29T09:41:13+09:00
- Original source: [doubleagent.net](https://doubleagent.net/onavo-facebook-ssl-mitm-technical-analysis/)
- Points: 2
- Comments: 1

## Topic Body

- 현재 Meta에 대한 집단 소송이 진행 중이며, 법원 문서에 따르면 회사가 Wiretap Act를 위반했을 가능성이 있음.  
- 이 게시물은 법원 문서와 Onavo Protect 앱의 역공학 분석을 기반으로 함.  
- 페이스북은 MITM 공격을 사용하여 사용자의 암호화된 HTTPS 트래픽을 가로챘으며, 이를 "ssl bump"라고 명명함.  
  
###### 기술 요약  
- Onavo Protect 안드로이드 앱은 사용자가 "Facebook Research"에서 발급한 CA 인증서를 설치하도록 유도하는 코드를 포함하고 있었음.  
- 이 인증서는 페이스북이 TLS 트래픽을 해독하기 위해 필요했음.  
- 2016년 배포된 앱에는 Facebook Research CA 인증서가 포함되어 있었으며, 일부는 2027년까지 유효함.  
- 새로운 안드로이드 버전이 출시되면서 이 방법은 더 이상 사용 불가능해졌음.  
- Snapchat 앱의 분석 도메인은 인증서 고정을 사용하지 않았기 때문에 MITM 공격이 가능했음.  
- 앱 사용 통계 외에도 민감한 데이터(예: IMSI)를 수집하는 기능이 있었음.  
  
###### 동작 방식  
- 신뢰할 수 있는 인증서를 장치에 설치하고, 모든 트래픽을 VPN을 통해 페이스북 인프라로 전송한 후, Squid 캐싱 프록시를 사용하여 트래픽을 해독함.  
- Snapchat, Amazon, YouTube 도메인의 트래픽이 가로채졌음.  
- 시간이 지나면서 안드로이드의 보안 강화로 인해 이 전략의 성공률이 감소했음.  
- 페이스북은 접근성 API를 대안으로 고려했음.  
  
###### 동기  
- 마크 저커버그는 Snapchat에 대한 신뢰할 수 있는 분석이 필요하다고 언급함.  
- Onavo Protect VPN 앱을 통해 특정 도메인의 트래픽을 가로채는 기술을 다른 앱에 배포하려는 의도가 있었음.  
- 페이스북은 2013년에 Onavo를 약 1억 2천만 달러에 인수했으며, 이 기술을 잘 활용하려고 했음.  
  
###### 기술 분석  
- HTTPS/TLS를 통해 원격 웹사이트나 서버를 신뢰하는 이유는 장치의 신뢰 저장소에 저장된 공인 인증서 때문임.  
- 자체 서명된 인증서를 신뢰 저장소에 추가하면 암호화된 TLS 트래픽을 가로챌 수 있음.  
- 안드로이드 11부터는 사용자가 추가한 인증서를 대부분의 앱에서 신뢰하지 않도록 변경됨.  
- Snapchat 앱은 분석 도메인에 대해 인증서 고정을 사용하지 않았음.  
  
###### 결론  
- 페이스북이 사용자의 동의 없이 HTTPS 트래픽을 해독한 것은 윤리적 규범을 위반할 수 있으며, 법적으로 문제가 될 수 있음.  
- 안드로이드 7 이후로는 앱이 사용자 저장소의 인증서를 신뢰하지 않도록 변경됨.  
- 페이스북은 IMSI와 같은 민감한 데이터를 수집하려고 했음.  
  
##### GN⁺의 정리  
- 이 기사는 페이스북이 경쟁사의 트래픽을 가로채기 위해 사용한 기술적 방법을 상세히 설명함.  
- 안드로이드의 보안 강화로 인해 이러한 방법이 더 이상 유효하지 않음.  
- 페이스북의 접근성 API 남용 가능성은 윤리적 문제를 제기함.  
- 유사한 기능을 가진 다른 프로젝트로는 VPN을 통한 트래픽 분석 도구가 있음.

## Comments



### Comment 27631

- Author: neo
- Created: 2024-07-29T09:41:14+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41090304) 
- FB가 SC 사용자들에게 "시장 조사"에 참여하고 프록시를 설치하도록 돈을 지불한 것 같음
  - 대부분의 기사에서 이를 해킹으로 묘사하지만, 실제로는 그렇지 않음
  - 참가자들이 자신들의 행동이 모니터링된다는 것을 알고 있었을 가능성이 높음
  - 통신 채널의 한 당사자가 암호화를 해제하는 것이 도청으로 간주될 수 있는지에 대한 논란이 있음

- FB 직원들이 MITM(중간자 공격)에 대해 공개적으로 이야기하고, 다른 회사들에게도 이를 포함시키도록 한 것은 매우 어리석은 행동임
  - "Zuck, 제안에 대해 이야기할 아이디어가 있어. 직접 만나서 논의하자" 같은 표현이 더 나았을 것임

- Onavo 앱을 다운로드해야 한다는 점에서 사용자에게 어느 정도의 선택권이 주어짐
  - iOS에서 사용할 수 있는 두 가지 웹뷰(WKWebview와 SFSafariViewController)가 있음
  - Facebook 앱에서 링크를 클릭할 때 SFSafariViewController를 사용해야 하지만, 여전히 WKWebView를 사용하고 있음
  - WKWebView를 통해 임의의 JS를 주입하고 사용자 행동을 추적할 수 있음

- Facebook에 대해 좋은 의견을 가질 수 없는 유일한 기술 회사임
  - 10-11년 전에 Facebook 계정을 닫고 검색 결과에서 Facebook을 필터링함
  - WhatsApp은 여전히 사용 중임

- Meta에 대한 현재의 집단 소송이 Wiretap Act 위반을 주장하는 문서를 포함하고 있음
  - 그러나 이는 도청 사건이 아니며, Sherman Act 위반에 대한 소송임
  - 발견 과정에서 Facebook이 Wiretap Act를 위반했을 가능성이 발견되었음

- Facebook이 NSA의 전초기지처럼 운영되고 있다는 생각이 듦

- SSLbump에 대한 법적 선례가 있어야 함
  - 고객 측에서 네트워크 트래픽을 감시하는 것을 범죄로 규정한 사례가 있어야 함

- 친척이 시장 조사에 참여하려다 포기한 적이 있음
  - VPN 및 프록시를 통해 모든 인터넷 트래픽을 리디렉션하고 인증서를 설치하는 방식이었음
  - 기술 지식이 부족한 사람의 동의가 얼마나 의미 있는지 의문임

- 인터넷을 통해 민감한 정보를 전송하기 전에 TLS 인증서 교환을 해야 함

- Meta와 같은 악의적인 행위자들이 많은 "어두운 패턴"을 사용하고 있을 가능성이 높음
  - 센서 데이터를 통해 민감한 정보를 추출할 수 있는 보안 위험이 존재함
  - Meta와 다른 회사들이 더 간단하고 나쁜 도청 기술을 사용하고 있을 가능성이 있음