MetaのOnavoアプリ:秘密のHTTPSトラフィックハイジャック
2025-08-01
最近、Metaに対する集団訴訟で、同社が盗聴法に違反している可能性を示唆する証拠が明らかになりました。裁判書類とOnavo Protectアプリのリバースエンジニアリングにより、Metaが「ssl bump」と呼ばれる手法を使用して、暗号化されたHTTPSトラフィックを傍受し、Snapchat、YouTube、Amazonなどの特定のドメインへのトラフィックを復号化していたことが判明しました。これは、「Facebook Research」が発行したCA証明書をユーザーにインストールさせることで実現していました。新しいAndroidバージョンでは無効になっていますが、この方法は2016年から2019年まで効果的にユーザーデータを収集していました。この事件は、大規模なテクノロジー企業によるユーザープライバシーの侵害の可能性と、モバイルデバイスのセキュリティメカニズムの悪用を浮き彫りにしています。
テクノロジー
HTTPS傍受