Aplicación Onavo de Meta: Un secuestro furtivo de tráfico HTTPS
Una demanda colectiva reciente contra Meta revela evidencia que sugiere que la compañía puede haber violado la Ley de Interceptación Telefónica. Documentos judiciales e ingeniería inversa de la aplicación Onavo Protect muestran que Meta usó una técnica llamada "ssl bump" para interceptar el tráfico HTTPS encriptado, desencriptando el tráfico a dominios específicos como Snapchat, YouTube y Amazon. Esto implicó engañar a los usuarios para que instalaran un certificado CA emitido por "Investigación de Facebook". Si bien ineficaz en versiones más nuevas de Android, este método recopiló datos de usuario de manera efectiva de 2016 a 2019. El incidente destaca el potencial de las grandes empresas tecnológicas para violar la privacidad del usuario y abusar de los mecanismos de seguridad de los dispositivos móviles.