Facebook è sotto esame per il suo presumibile coinvolgimento nel furto di dati VPN.
L’analista tecnologico HaxRob, attraverso la sua analisi approfondita, ha portato alla luce il problema, mentre la giornalista tecnologica Naomi Brockwell lo ha ulteriormente commentato, rivelando una complessa rete di intercettazione e manipolazione dei dati degli utenti.
Il furto di dati di Facebook tramite VPN
L’indagine di HaxRob ha svelato che Facebook, sfruttando l’acquisizione di Onavo, ha messo in atto pratiche potenzialmente in grado di intercettare e analizzare i dati degli utenti trasmessi attraverso altre applicazioni. Integrando i certificati root nei dispositivi mobili degli utenti, Facebook avrebbe potuto monitorare e intercettare il traffico di una miriade di applicazioni.
La controversia è incentrata su Onavo. Prima della sua rimozione dagli app store, offriva apparentemente servizi VPN con il pretesto della sicurezza degli utenti. Tuttavia, le descrizioni archiviate e le funzionalità dell’app lasciano intendere uno scopo più oscuro.
“Questo codice, che includeva un “kit” lato client che installava un certificato “root” sui dispositivi mobili degli utenti di Snapchat, comprendeva anche un codice lato server personalizzato basato su “squid” attraverso il quale i server di Facebook creavano certificati digitali falsi per impersonare i server analitici affidabili di Snapchat, YouTube e Amazon per reindirizzare e decifrare il traffico sicuro da quelle app per l’analisi strategica di Facebook”, si legge in un documento del tribunale.
Queste azioni non solo violano la fiducia degli utenti, ma oltrepassano anche i confini dell’uso etico della tecnologia, come ha sottolineato HaxRob: “L’app è riuscita a stabilire la connettività ai server di Facebook, nonostante si presentasse come uno strumento per la sicurezza degli utenti”.
Per saperne di più: Qual è la migliore VPN del 2024?
I commenti di Naomi Brockwell sottolineano ulteriormente la gravità della situazione. Ha descritto le azioni di Facebook come un “attacco man-in-the-middle”, con accesso al traffico SSL e ai dati sensibili degli utenti senza consenso.
“Sembra che Facebook abbia effettuato un attacco man-in-the-middle utilizzando il proprio servizio VPN per rubare i dati da altre applicazioni. Questo ha permesso loro di vedere tutto il traffico SSL, creando un falso certificato digitale per impersonare Snapchat, YouTube, Amazon e così via”, ha spiegato Brockwell.
La dissezione tecnica delle operazioni dell’app Onavo rivela richieste di autorizzazioni allarmanti, includendo la possibilità di sovrapporsi ad altre app, l’accesso allo storico e all’utilizzo delle app cancellate e la gestione delle chiamate telefoniche. Con il pretesto di migliorare la sicurezza dell’utente, queste autorizzazioni sollevano notevoli dubbi sull’entità dei dati a cui Facebook potrebbe accedere e manipolare.
In particolare, la pratica di installare certificati per l’intercettazione del traffico delle app, sebbene ostacolata dai recenti miglioramenti della sicurezza di Android, mostra fino a che punto le aziende possono spingersi per raccogliere i dati degli utenti. L’esposizione di tali pratiche, includendo la potenziale raccolta dei numeri IMSI degli abbonati ai cellulari e gli ampi dati di telemetria accumulati dai 10 milioni di download dell’app, riflette l’imperativo di una rigorosa supervisione normativa.
Questo incidente non è isolato. Fa eco a multe precedenti, come la sanzione di 20 milioni di dollari imposta dall’ACCC australiana, evidenziando la preoccupazione globale per le pratiche di gestione dei dati di Facebook.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
