Metas Onavo-App: Ein heimlicher HTTPS-Traffic-Hijack
Eine kürzlich eingereichte Sammelklage gegen Meta enthüllt Beweise, die darauf hindeuten, dass das Unternehmen möglicherweise gegen das Abhörgesetz verstoßen hat. Gerichtsdokumente und Reverse Engineering der Onavo Protect-App zeigen, dass Meta eine Technik namens "ssl bump" verwendet hat, um verschlüsselten HTTPS-Verkehr abzufangen und den Verkehr zu bestimmten Domains wie Snapchat, YouTube und Amazon zu entschlüsseln. Dies beinhaltete die Täuschung von Nutzern, um ein von "Facebook Research" ausgestelltes CA-Zertifikat zu installieren. Obwohl diese Methode auf neueren Android-Versionen wirkungslos ist, sammelte sie von 2016 bis 2019 effektiv Benutzerdaten. Der Vorfall unterstreicht das Potenzial großer Technologieunternehmen, die Privatsphäre von Nutzern zu verletzen und Sicherheitsmechanismen mobiler Geräte zu missbrauchen.