GN⁺: 페이스북이 경쟁사의 암호화된 모바일 앱 트래픽을 가로챈 방법

 (doubleagent.net)
2P by neo 4달전 | favorite | 댓글 1개
  • 현재 Meta에 대한 집단 소송이 진행 중이며, 법원 문서에 따르면 회사가 Wiretap Act를 위반했을 가능성이 있음.
  • 이 게시물은 법원 문서와 Onavo Protect 앱의 역공학 분석을 기반으로 함.
  • 페이스북은 MITM 공격을 사용하여 사용자의 암호화된 HTTPS 트래픽을 가로챘으며, 이를 "ssl bump"라고 명명함.
기술 요약
  • Onavo Protect 안드로이드 앱은 사용자가 "Facebook Research"에서 발급한 CA 인증서를 설치하도록 유도하는 코드를 포함하고 있었음.
  • 이 인증서는 페이스북이 TLS 트래픽을 해독하기 위해 필요했음.
  • 2016년 배포된 앱에는 Facebook Research CA 인증서가 포함되어 있었으며, 일부는 2027년까지 유효함.
  • 새로운 안드로이드 버전이 출시되면서 이 방법은 더 이상 사용 불가능해졌음.
  • Snapchat 앱의 분석 도메인은 인증서 고정을 사용하지 않았기 때문에 MITM 공격이 가능했음.
  • 앱 사용 통계 외에도 민감한 데이터(예: IMSI)를 수집하는 기능이 있었음.
동작 방식
  • 신뢰할 수 있는 인증서를 장치에 설치하고, 모든 트래픽을 VPN을 통해 페이스북 인프라로 전송한 후, Squid 캐싱 프록시를 사용하여 트래픽을 해독함.
  • Snapchat, Amazon, YouTube 도메인의 트래픽이 가로채졌음.
  • 시간이 지나면서 안드로이드의 보안 강화로 인해 이 전략의 성공률이 감소했음.
  • 페이스북은 접근성 API를 대안으로 고려했음.
동기
  • 마크 저커버그는 Snapchat에 대한 신뢰할 수 있는 분석이 필요하다고 언급함.
  • Onavo Protect VPN 앱을 통해 특정 도메인의 트래픽을 가로채는 기술을 다른 앱에 배포하려는 의도가 있었음.
  • 페이스북은 2013년에 Onavo를 약 1억 2천만 달러에 인수했으며, 이 기술을 잘 활용하려고 했음.
기술 분석
  • HTTPS/TLS를 통해 원격 웹사이트나 서버를 신뢰하는 이유는 장치의 신뢰 저장소에 저장된 공인 인증서 때문임.
  • 자체 서명된 인증서를 신뢰 저장소에 추가하면 암호화된 TLS 트래픽을 가로챌 수 있음.
  • 안드로이드 11부터는 사용자가 추가한 인증서를 대부분의 앱에서 신뢰하지 않도록 변경됨.
  • Snapchat 앱은 분석 도메인에 대해 인증서 고정을 사용하지 않았음.
결론
  • 페이스북이 사용자의 동의 없이 HTTPS 트래픽을 해독한 것은 윤리적 규범을 위반할 수 있으며, 법적으로 문제가 될 수 있음.
  • 안드로이드 7 이후로는 앱이 사용자 저장소의 인증서를 신뢰하지 않도록 변경됨.
  • 페이스북은 IMSI와 같은 민감한 데이터를 수집하려고 했음.

GN⁺의 정리

  • 이 기사는 페이스북이 경쟁사의 트래픽을 가로채기 위해 사용한 기술적 방법을 상세히 설명함.
  • 안드로이드의 보안 강화로 인해 이러한 방법이 더 이상 유효하지 않음.
  • 페이스북의 접근성 API 남용 가능성은 윤리적 문제를 제기함.
  • 유사한 기능을 가진 다른 프로젝트로는 VPN을 통한 트래픽 분석 도구가 있음.
neo 4달전  [-]
Hacker News 의견

  • FB가 SC 사용자들에게 "시장 조사"에 참여하고 프록시를 설치하도록 돈을 지불한 것 같음

    • 대부분의 기사에서 이를 해킹으로 묘사하지만, 실제로는 그렇지 않음
    • 참가자들이 자신들의 행동이 모니터링된다는 것을 알고 있었을 가능성이 높음
    • 통신 채널의 한 당사자가 암호화를 해제하는 것이 도청으로 간주될 수 있는지에 대한 논란이 있음

  • FB 직원들이 MITM(중간자 공격)에 대해 공개적으로 이야기하고, 다른 회사들에게도 이를 포함시키도록 한 것은 매우 어리석은 행동임

    • "Zuck, 제안에 대해 이야기할 아이디어가 있어. 직접 만나서 논의하자" 같은 표현이 더 나았을 것임

  • Onavo 앱을 다운로드해야 한다는 점에서 사용자에게 어느 정도의 선택권이 주어짐

    • iOS에서 사용할 수 있는 두 가지 웹뷰(WKWebview와 SFSafariViewController)가 있음
    • Facebook 앱에서 링크를 클릭할 때 SFSafariViewController를 사용해야 하지만, 여전히 WKWebView를 사용하고 있음
    • WKWebView를 통해 임의의 JS를 주입하고 사용자 행동을 추적할 수 있음

  • Facebook에 대해 좋은 의견을 가질 수 없는 유일한 기술 회사임

    • 10-11년 전에 Facebook 계정을 닫고 검색 결과에서 Facebook을 필터링함
    • WhatsApp은 여전히 사용 중임

  • Meta에 대한 현재의 집단 소송이 Wiretap Act 위반을 주장하는 문서를 포함하고 있음

    • 그러나 이는 도청 사건이 아니며, Sherman Act 위반에 대한 소송임
    • 발견 과정에서 Facebook이 Wiretap Act를 위반했을 가능성이 발견되었음

  • Facebook이 NSA의 전초기지처럼 운영되고 있다는 생각이 듦

  • SSLbump에 대한 법적 선례가 있어야 함

    • 고객 측에서 네트워크 트래픽을 감시하는 것을 범죄로 규정한 사례가 있어야 함

  • 친척이 시장 조사에 참여하려다 포기한 적이 있음

    • VPN 및 프록시를 통해 모든 인터넷 트래픽을 리디렉션하고 인증서를 설치하는 방식이었음
    • 기술 지식이 부족한 사람의 동의가 얼마나 의미 있는지 의문임

  • 인터넷을 통해 민감한 정보를 전송하기 전에 TLS 인증서 교환을 해야 함

  • Meta와 같은 악의적인 행위자들이 많은 "어두운 패턴"을 사용하고 있을 가능성이 높음

    • 센서 데이터를 통해 민감한 정보를 추출할 수 있는 보안 위험이 존재함
    • Meta와 다른 회사들이 더 간단하고 나쁜 도청 기술을 사용하고 있을 가능성이 있음
답변달기