В 2014 году мир мобильных технологий был свидетелем неожиданного события: одна из крупнейших социальных платформ в мире, компания Facebook, применяла сложные технические методы для перехвата зашифрованного трафика конкурирующих мобильных приложений. Этот шаг вызвал волну обсуждений в сфере безопасности, конфиденциальности и правовых норм. История стала достоянием общественности благодаря судебным материалам по классовому иску, которые раскрыли, как Facebook использовал собственное мобильное приложение Onavo Protect для получения конкурентных данных и подробной аналитики действий пользователей в приложениях соперников. Onavo Protect позиционировалось как инструмент для защиты мобильного интернет-трафика и контроля использования данных, но в действительности играло совершенно иную роль. Технические основы перехвата зашифрованного трафика заключались в реализации метода «man-in-the-middle» (MITM), или посреднической атаки.
Для расшифровки HTTPS-зашифрованного трафика Facebook предлагал пользователям устанавливать персональный корневой сертификат, подписанный самим Facebook Research. Этот сертификат давал приложению Onavo Protect возможность становиться доверенным посредником при установлении TLS-соединений, что позволяло Facebook просматривать и анализировать контент, передаваемый между устройствами пользователей и серверами конкурентов. Важным компонентом этой схемы служил VPN-сервис, встроенный в Onavo Protect. Вся интернет-активность пользователя перенаправлялась через инфраструктуру Facebook, где трафик проходил через прозрачный прокси-сервер с функцией «ssl bump», основанной на технологии, аналогичной используемой в прокси Squid. Такая настройка давала возможность дешифровывать и анализировать зашифрованные данные в режиме реального времени.
Примечательно, что Facebook особенно интересовался трафиком таких популярных сервисов, как Snapchat, YouTube и Amazon. Среди целей перехвата были аналитические домены, которые позволяли компании собирать более глубокие инсайты о поведении пользователей, например, какие действия они совершали внутри приложений. Это давало Facebook конкурентное преимущество в разработке и продвижении собственных продуктов. Однако технологическая возможность реализации такого перехвата имела свои ограничения. В частности, некоторые приложения использовали механизм проверки сертификатов — certificate pinning, который затруднял внедрение сторонних сертификатов и тем самым усложнял MITM-атаки.
Тем не менее, расследование показало, что в тот период Snapchat и вероятно другие сервисы не использовали certificate pinning для всех своих аналитических доменов, что облегчало работу Facebook. Ключевой нажим в схеме перехвата приходился на пользователей Android-устройств. Facebook предлагал установить сертификат через специальный системный запрос, но начиная с Android 7 (Nougat) такие методы стали фактически невозможны для массового применения из-за новых системных ограничений, направленных на повышение безопасности. В более современных версиях ОС сертификаты, установленные пользователем, не доверяются приложениями по умолчанию, что практически исключает возможность использования подобных MITM-атак без дополнительного вмешательства. Помимо технических нюансов, практическая реализация схемы вызывала серьезные вопросы с точки зрения законности и этики.
В судебных документах указывается, что в результате действий Facebook мог нарушать американский Закон о перехвате (Wiretap Act), а также американский антимонопольный закон Sherman Act. В частности, компания, возможно, тайно вмешивалась в частные коммуникации пользователей, не обеспечивая полного информирования и получения согласия на перехват. Такая практика вызвала возмущение как среди юристов, так и в среде пользователей и специалистов по безопасности. Помимо самой технологии перехвата, Onavo Protect собирал широкий спектр данных о поведении пользователей. Среди них были статистика использования приложений, объемы переданных данных и даже чувствительная информация, например IMSI — уникальный идентификатор абонента мобильной сети.
Это указывает на системный характер сбора информации и глубокое вмешательство в приватность пользователей. В условиях растущей конкуренции и значимости мобильной аналитики для бизнеса, данные методы Facebook рассматривал как инструмент стратегического преимущества. Покупка Onavo в 2013 году примерно за 120 миллионов долларов указывала на серьезность намерений компании освоить возможности детального анализа мобильного пользовательского опыта своих конкурентов. Реакция индустрии и компаний на разоблачения была быстрой и жесткой. В 2019 году Apple удалила Onavo из своего App Store, а Facebook вынужден был отключить сервис после того, как стало известно о практике отслеживания подростков через приложение.
В Австралии Facebook оштрафовали на 20 миллионов австралийских долларов за вводящую в заблуждение рекламу, связанную с Onavo. Все эти события подчеркивают риск использования подобных технологий без прозрачности и этического обоснования. Технический прогресс и законодательные нововведения существенно ограничили возможность применения подобных методов в новых версиях Android и iOS. В частности, современные приложения все активнее внедряют certificate pinning и используют другие методы защиты данных и приватности пользователей. Изменились и политики магазинов приложений, усилилась ответственность за нарушения конфиденциальности.
Тем не менее, случай с Facebook и Onavo Protect остается важным прецедентом в истории безопасности мобильных платформ. Он демонстрирует, как далеко готовы зайти крупные компании ради конкурентного преимущества, и почему пользователям следует внимательно относиться к разрешениям, которые они предоставляют приложениям, особенно если речь идет о VPN-сервисах или инструментах, запрашивающих установку пользовательских сертификатов. Изучение этой истории также подчеркивает необходимость развития законодательной базы, обеспечивающей защиту цифровой приватности и прозрачность работы компаний с пользовательскими данными. Современный пользователь, смартфон и мобильные приложения — неотъемлемая часть жизни, и вопросы безопасности требуют постоянного внимания как от самих разработчиков, так и от регуляторов. В заключение можно отметить, что практика перехвата зашифрованного трафика, применявшаяся Facebook в период с 2014 по 2019 год при помощи Onavo Protect, стала сочетанием технических инноваций в неблагоприятном правовом и этическом контексте.
Этот кейс служит уроком для всего индустриального сообщества, напоминая о важности баланса между бизнес-целями, технологиями и защитой прав пользователей.
![Platformize It Building a Unified and Extensible Platform Framework [video]](/images/B827A386-619C-4B4B-BA2B-FB4A35F2248D)
