un blog de Radu Dumitru
un blog de Radu Dumitru
►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄
« Știrile zilei despre tehnologie – 28 martie 2024
TikTok mută datele personale ale europenilor în noile centre de date din Europa »
28 Mar 2024 ·
Documente făcute publice de un tribunal arată că Facebook a folosit un truc urât pentru a spiona ce fac utilizatorii rețelei sociale în alte aplicații, precum Snapchat, Amazon și YouTube. Acele aplicații criptau traficul făcut de ele între telefoane și servere, deci Facebook a avut nevoie de o metodă de a trece peste această criptare. Și a găsit-o.
Într-un email din 2016, Zuckerberg le scrie unor subalterni din Facebook:
“Given how quickly they’re growing, it seems important to figure out a new way to get reliable analytics about them. Perhaps we need to do panels or write custom software. You should figure out how to do this.”
Nu-mi pasă cum, dar vreau să meargă!
Și angajații Facebook au făcut-o să meargă. Au folosit un VPN numit Onavo, pe care Facebook îl cumpărase în 2013. Instalat pe telefoanele utilizatorilor, VPN-ul vede traficul făcut prin rețea înainte să fie criptat. Astfel, Facebook a putut avea niște date tip analytics despre activitatea pe Snapchat și apoi Amazon și YouTube.
Ce fel de date? Probabil nu parole sau clipurile la care te uiți. Din analiza traficului de date și a pachetelor trimise prin rețea, poți trage însă o mulțime de concluzii: de câte ori face un utilizator upload de fotografii, la câte clipuri video se uită, de câte ori a accesat pagina de checkout de pe Amazon, semn că a dat o comandă, ce fel de subdomenii accesează pe Amazon, de câte ori intră în mesageria privată din Snapchat etc.
De fapt, în funcție de cum erau construite acele aplicații, poate că era posibil ca Facebook să determine URL-uri sau alte date care ar fi arătat exact la ce produse se uită cineva pe Amazon sau ce clipuri urmărește pe YouTube.
Facebook a numit asta proiectul Ghostbusters. Pentru a aduna date, trebuia ca utilizatorii să instaleze VPN-ul Onavo pe telefoanele sau computerele lor. De ce ar face asta?
Nu știu, dar cred că de fapt nu a fost complicat de pus în practică. Cu suficiente reclame rulate pe Facebook despre avantajele VPN-ului, poți convinge destui oameni să-l instaleze. Plătești câțiva influenceri sau streameri să-l promoveze. Facebook avea practic resurse infinite de promovare. Deja după câteva sute sau mii de instalări, poți trage concluzii statistice bune.
Și probabil doar câțiva din companie știau că este ceva mârșav în spate. În acea perioadă, Facebook era o companie privită destul de bine. Un VPN făcut chiar de Facebook? Probabil l-au promovat și instalat mulți fără nici o problemă, fără a bănui că, în paralel, VPN-ul face un soi de atac man-in-the-middle pentru a spiona anumite aplicații.
Am scris acum câteva săptămâni despre criptare, ce este criptarea end-to-end și de ce contează ea. Scriam acolo că mesajele criptate sunt practic imposibil de decriptat. Un atac de tipul man-in-the-middle le poate intercepta însă înainte de criptare. VPN-ul Facebook, mai degrabă, vedea încotro sunt trimise mesaje criptate. Nu cred că le păsa de conținutul fotografiilor uploadate pe Snapchat, ci de câte ori accesează în medie un utilizator adresa upload-de-fotografie.snapchat.com, să zicem.
Nu toți angajații Facebook au fost de acord cu ideea aceasta:
Inside Facebook, there wasn’t a consensus on whether Project Ghostbusters was a good idea. Some employees, including Jay Parikh, Facebook’s then-head of infrastructure engineering, and Pedro Canahuati, the then-head of security engineering, expressed their concern.
“I can’t think of a good argument for why this is okay. No security person is ever comfortable with this, no matter what consent we get from the general public. The general public just doesn’t know how this stuff works,” Canahuati wrote in an email, included in the court documents.
Facebook a închis Onavo în 2019. O investigație a TechCrunch a arătat atunci că Facebook a plătit adolescenți să instaleze Onavo pentru a le putea spiona apoi obiceiurile și activitatea online. Nu este clar cât timp a durat acțiunea de a monitoriza Snap, Google și Amazon. De treabă Zuckerberg, nu?
sursa: Facebook.
« Știrile zilei despre tehnologie – 28 martie 2024
TikTok mută datele personale ale europenilor în noile centre de date din Europa »
Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.
Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri
Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.
Îți place blogul meu?
Apasă acest buton înainte de a cumpăra de la eMAG
și vei susține acest site.
Magazine recomandate:
Formula 1 în China: Mercedes mă dezamăgește, plus înjurături între piloți
Articole interesante de citit astăzi – 21 aprilie 2024
Am condus noul Duster: impresii după autostradă și traseu off-road
Astăzi vor fi încasări record la spălătoriile auto după cât praf din Sahara s-a depus pe mașini
Cîrstoiu out, Piedone intră în linia dreaptăCopyright © 2006 - 2024 nwradu blog.
Reproducerea textelor și a imaginilor ce-mi aparțin este posibilă numai în sistem "creative commons Attribution Non-Commercially Share-alike 3.0 CC BY-NC-SA".
Termene și condiții | Politica de confidențialitate | Politica de cookies
21 comentarii
28/03/2024 la 11:25 AM
Si acum intrebarea este: putem sa avem incredere in vreunul dintre serviciile de VPN din piata?
Andrei G(Citează)
28/03/2024 la 11:48 AM
Nu, oricum e un tradeoff, folosesti vpn ca sa scapi de niste restrictii puse de siteurile pe care le vizitezi si la schimb dai datele catre VPN. Nu cred ca sunt multi care pica in mizeria de marketing “folositi un VPN pentru privacy”, toti o fac ca sa isi deschida conturi de netflix pe turcia (sau unde o fi mai ieftin), s-a foloseasca produse care sunt IP banned pe locatia lor, etc. etc. Daca chiar vrei VPN for privacy, ti-l faci singur, nici macar nu e greu.
Boris(Citează)
28/03/2024 la 12:30 PM
Normal ca am incredere … in VPN-ul personal ce ruleaza pe routerul de acasa.
Router Asus castigat la un concurs pe nwradu.ro .
cineva(Citează)
28/03/2024 la 2:20 PM
Nu.
TOR e cam minimul pt. un pic de privacy, dar si acolo e cunoscut ca exista exit nodes tinute de organizatii guvernamentale asa ca nu e scutit de monitorizare.
Claudiu(Citează)
28/03/2024 la 5:14 PM
si cum iti faci singur VPN? zici ca nu-i greu.
chiar, CUM?
si-ar face toata lumea VPN personal, me included.
vega(Citează)
28/03/2024 la 5:51 PM
Routere cu vpn incorporat, raspeberry pi pe care pui vpnserver, mini desktops, dell optiplex, router cu firmware custom gen openwrt samd.
Baltha Zerus(Citează)
28/03/2024 la 7:29 PM
Nu inteleg care ar fi avantajul de privacy sa iti faci vpn pe un server (conexiune) de acasa (decat ca sa te conectezi remote la el si sa para ca iesi tot “de acasa” cand esti in deplasare, dar privacy ar fi 0).
Eu ma refeream la un server in cloud (e.g. un ec2 in aws) si un openvpn server instalat acolo, sau ceva similar. Practic tot traficul tau ar fi intre ISP de acasa si sa zicem serverul aws, iar pentru siteuri ar parea ca vii din aws. Acu’ daca cineva e curios de ce ai tu trafic intre tine si un serviciu/server mentinut tot de tine prin cloud, deja ai probleme mult mai mari decat privacy.
Boris(Citează)
28/03/2024 la 8:08 PM
Nu e mai nici un avantaj de “privacy” sa ai server vpn acasa. La fel si in cazul in care ai impresia ca daca ai un server vpn aiurea ai parte de privacy. Nu exista 100% privacy cand ai middle man isp-ul, cand folosesti browsere and crap. In cel mai bun caz, daca esti intr-o tara cu legi antipiracy tapene si vrei sa downloadezi un film ceva. Dar si in cazul ala un seedbox e o idee mai buna.
Personal folosesc vpn server acasa ca sa am acces controlat in reteaua proprie, sa nu dau drumul la toate smartgadgeturile pe net, ceea ce ar fi o ideea cam cretina in ziua de azi. Server e un optiplex cu un intel seria 7, care e si media server, nas samd.
Baltha Zerus(Citează)
28/03/2024 la 11:35 AM
Interesant că Onavo a fost pe AppStore, iar astăzi unii încearcă să mă convingă cum că e mai bine pentru siguranța și intimitatea mea să nu se poată instala aplicații din afara store-ului Apple.
ov1d1u(Citează)
28/03/2024 la 11:51 AM
Servicitiile de informatii de la noi au aparate cu care pot vedea mesajele criptate, cel putin din WhatsApp.
CM(Citează)
28/03/2024 la 12:17 PM
Nu, nu au.
Eu… gen(Citează)
28/03/2024 la 12:48 PM
Ar fi misto si o explicatie de ce zici asta. sau doar o crezi si atat fara nici un argument.
Alex(Citează)
28/03/2024 la 12:51 PM
Argumentele amândurora sunt interesante și pertinente, dar nu m-am lămurit dacă au sau nu au acele aparate.
Mario(Citează)
28/03/2024 la 7:58 PM
Au , HC-92!
conspicuous(Citează)
28/03/2024 la 12:22 PM
De proști. Lumea ( vorbesc de civili și oameni cu bune intenții) folosește VPN-uri in modul cel mai casual să nu mai fie spionati de unii ca facebook, de exemplu.
Cuiva ii trece prin cap ca e o idee buna sa folosesca un VPN de la ăia care il spioneaza și de care vrea să scape.
Depinde in ce masura pui intrebarea. Să nu iti vandă datele relevante la marketing si profiling către gunoaie de companii, gen facebook si alti trackeri – da, servicii reputabile pe care le plătesti.
Sa faci nasoale si sa nu te poată afla un actor statal. Probabil nu.
Whatsapp nu e criptat sa te protejezi de servicii de informatii – aia pot cere doar să le vadă și li le dă Zuck direct și cu tot ce-au mai inregistrat aplicațiile lui pe lângă, dacă dau și ei de-o ciorbă.
Catalinx(Citează)
28/03/2024 la 1:13 PM
interesant, oarecum se explica de ce le promoveaza youtuberii cu 80-90% discount.
GabrielG(Citează)
28/03/2024 la 4:29 PM
Vorbim de vremuri mult apuse. Intre timp https a devenit standard. DNS over SSL merge in directia asta.
Oricum, totul a fost calculat financiar. FB a ramas o companie de miliarde $ profit iar pentru minunea asta nu va plati nici macar unu daune. Asa ca moralitatea e mai scumpa decat chestii de genu asta. Pana la urma trebuie sa facem profit intr-o companie nu?
SYAOnline(Citează)
28/03/2024 la 4:32 PM
Asta are sens doar daca te conectezi prin el cand esti in vacanta. Altfel doar iti scade viteza de internet ca faci o bucla locala.
SYAOnline(Citează)
28/03/2024 la 4:55 PM
Internal documents that revealed Avast was using its Antivirus to harvest browsing data and then sell it at a massive scale
FTC is fining cybersecurity company Avast $16.5 million.
https://www.404media.co/impact-ftc-fines-avast-16-5-million-for-selling-browsing-data-harvested-by-antivirus/
Ariel(Citează)
28/03/2024 la 10:18 PM
Aici e un articol din 2021 in care se confirma că există tehnologia pentru decriptarea mesajelor, dar că este f scumpă și se așteaptă să primească banii.
https://www.g4media.ro/dna-vrea-sa-si-cumpere-tehnica-pentru-a-putea-intercepta-whatsapp-bologa-nu-avem-asa-ceva-in-prezent-dar-trebuie-sume-serioase-de-bani-pentru-acest-lucru.html
Între timp, din mai multe surse, mi s-a confirmat că autoritățile au tehnologia și o folosesc.
Sunt mai multe articole pe net, ca și poliția a cumpărat software pentru decriptarea mesajelor WhatsApp, telegram …
CM(Citează)
29/03/2024 la 12:01 PM
Inca una:
https://arstechnica.com/gadgets/2024/03/netflix-ad-spend-led-to-facebook-dm-access-end-of-facebook-streaming-biz-lawsuit/
mArS(Citează)