Facebook hat in einem geheimen Projekt den Snapchat-Verkehr seiner Nutzer ausspioniert, wie Dokumente zeigen
Im Jahr 2016 startete Facebook ein geheimes Projekt, um den Netzwerkverkehr zwischen den Nutzern der Snapchat-App und seinen Servern abzufangen und zu entschlüsseln. Das Ziel war es, das Verhalten der Nutzer zu verstehen und Facebook dabei zu helfen, mit Snapchat zu konkurrieren, wie aus kürzlich entsiegelten Gerichtsdokumenten hervorgeht. Facebook nannte dies "Project Ghostbusters", eine klare Anspielung auf das geisterhafte Logo von Snapchat.
Am Dienstag hat ein Bundesgericht in Kalifornien neue Dokumente veröffentlicht, die im Rahmen der Sammelklage zwischen Verbrauchern und Meta, der Muttergesellschaft von Facebook, entdeckt wurden.
Die neu veröffentlichten Dokumente zeigen, wie Meta versucht hat, sich einen Wettbewerbsvorteil gegenüber seinen Konkurrenten, einschließlich Snapchat und später Amazon und YouTube, zu verschaffen, indem es den Netzwerkverkehr analysiert hat, wie seine Nutzer mit Metas Konkurrenten interagiert haben. Da diese Apps eine Verschlüsselung verwenden, musste Facebook eine spezielle Technologie entwickeln, um diese zu umgehen.
In einem der Dokumente wird Facebooks Projekt Ghostbusters beschrieben. Das Projekt war Teil des In-App Action Panel (IAPP)-Programms des Unternehmens, das eine Technik zum "Abfangen und Entschlüsseln" des verschlüsselten App-Verkehrs von Nutzern von Snapchat und später von Nutzern von YouTube und Amazon einsetzte, schreiben die Anwälte der Verbraucher in dem Dokument.
Das Dokument enthält interne Facebook-E-Mails, in denen das Projekt diskutiert wurde.
"Wann immer jemand eine Frage zu Snapchat stellt, lautet die Antwort in der Regel, dass wir keine Analysen darüber haben, weil der Datenverkehr verschlüsselt ist", schrieb Meta-Chef Mark Zuckerberg in einer E-Mail vom 9. Juni 2016, die im Rahmen der Klage veröffentlicht wurde. "In Anbetracht der Tatsache, dass sie so schnell wachsen, scheint es wichtig zu sein, einen neuen Weg zu finden, um zuverlässige Analysen über sie zu erhalten. Vielleicht müssen wir Panels machen oder eine eigene Software schreiben. Sie sollten herausfinden, wie man das macht."
Die Lösung der Facebook-Ingenieure bestand in der Nutzung von Onavo, einem VPN-ähnlichen Dienst, den Facebook im Jahr 2013 übernommen hatte. Im Jahr 2019 schaltete Facebook Onavo ab, nachdem eine TechCrunch-Recherche ergeben hatte, dass Facebook Jugendliche heimlich für die Nutzung von Onavo bezahlt hatte, damit das Unternehmen auf alle ihre Webaktivitäten zugreifen konnte.
Nach Zuckerbergs E-Mail nahm sich das Onavo-Team des Projekts an und schlug einen Monat später eine Lösung vor: sogenannte Kits, die auf iOS und Android installiert werden können und den Datenverkehr für bestimmte Subdomains abfangen, "so dass wir den ansonsten verschlüsselten Datenverkehr lesen und die In-App-Nutzung messen können", heißt es in einer E-Mail vom Juli 2016. "Dies ist ein 'Man-in-the-Middle'-Ansatz.
Ein Man-in-the-Middle-Angriff - heutzutage auch Adversary-in-the-Middle genannt - ist ein Angriff, bei dem Hacker den Internetverkehr abfangen, der über ein Netzwerk von einem Gerät zu einem anderen fließt. Wenn der Netzwerkverkehr unverschlüsselt ist, ermöglicht diese Art von Angriff den Hackern, die darin enthaltenen Daten, wie Benutzernamen, Passwörter und andere In-App-Aktivitäten, zu lesen.
Da Snapchat den Datenverkehr zwischen der App und seinen Servern verschlüsselt hat, wäre diese Technik der Netzwerkanalyse nicht effektiv gewesen. Aus diesem Grund schlugen die Facebook-Ingenieure die Verwendung von Onavo vor, das, wenn es aktiviert ist, den gesamten Netzwerkverkehr des Geräts auslesen kann, bevor er verschlüsselt und über das Internet gesendet wird.
"Wir sind jetzt in der Lage, detaillierte In-App-Aktivitäten zu messen", heißt es in einer anderen E-Mail, und zwar durch die Analyse von Snapchat-Analysen, die von Teilnehmern des Onavo-Forschungsprogramms mit Anreizen gesammelt wurden.
Später, so heißt es in den Gerichtsdokumenten, weitete Facebook das Programm auf Amazon und YouTube aus.
Innerhalb von Facebook herrschte keine Einigkeit darüber, ob das Projekt Ghostbusters eine gute Idee war. Einige Mitarbeiter, darunter Jay Parikh, der damalige Leiter der Infrastrukturentwicklung von Facebook, und Pedro Canahuati, der damalige Leiter der Sicherheitstechnik, äußerten ihre Bedenken.
"Mir fällt kein gutes Argument ein, warum dies in Ordnung ist. Kein Sicherheitsexperte kann sich damit anfreunden, ganz gleich, welche Zustimmung wir von der Öffentlichkeit erhalten. Die Öffentlichkeit weiß einfach nicht, wie diese Dinge funktionieren", schrieb Canahuati in einer E-Mail, die in den Gerichtsdokumenten enthalten ist.
Im Jahr 2020 reichten Sarah Grabert und Maximilian Klein eine Sammelklage gegen Facebook ein, in der sie behaupteten, dass das Unternehmen über seine Datenerhebungsaktivitäten gelogen und die Daten, die es in betrügerischer Weise von den Nutzern extrahiert hat, ausgenutzt habe, um Konkurrenten zu identifizieren und dann auf unfaire Weise gegen diese neuen Unternehmen zu kämpfen.
Ein Sprecher von Amazon lehnte eine Stellungnahme ab.
Google, Meta und Snap reagierten nicht auf Bitten um eine Stellungnahme.
Quelle: https://techcrunch.com/2024/03/26/facebook-secret-project-snooped-snapchat-user-traffic/