Meta가 2016년부터 2019년까지 경쟁사 서비스의 성장 이유를 파악하기 위해서 트래픽을 훔쳐본 내용을 분석한 글입니다. 이는 Meta에 대한 반독점 소송 중 변호사들이 자료를 찾다가 Meta가 타 서비스의 트래픽을 도청한 정황을 발견해서 이 재판에서 공개된 문서와 당시에 사용된 Onavo의 안드로이드 앱을 리버스 엔지니어링해서 파악한 내용을 정리한 것입니다.

Facebook은 당시 VPN 앱인 Onavo Protect라는 앱을 출시하면서 이를 사용하면 폰의 네트워크 보호할 수 있고(VPN 목적이 보통 그러니까) 모바일 데이터도 관리할 수 있다고 해서 당시 안드로이드에서만 천만건 이상 설치되었습니다.

Onavo는 앱에서 CA 인증서를 설치하도록 사용자에게 안내했고 트래픽을 VPN을 통해서 Facebook 인프라로 보내고 ssl bump라는 기능을 이용해서 이 트래픽을 Quid 캐싱 프록시로 리다이렉션했습니다. 사용자 폰에 사설 인증서를 설치했기에 암호화된 TLS 트래픽을 열어볼 수 있었고 이를 통해 Snapchat, YouTube, Amazon의 트래픽을 엿 본것으로 보입니다.

이후 OS의 업데이트로 보안이 강화되기도 했고 각 서비스들도 인증서 피팅을 하면서 훔쳐볼 수 있는 트레픽이 줄어들자 OS의 접근성 API를 대안으로 이용하려고 했던 문서도 공개되었습니다. Snapchat은 서비스 도메인에서는 인증서 피팅을 했지만 분석용 도메인은 인증서 피닝을 하지 않아서 분석용 도메인을 통해서 서비스 상태를 엿본 것으로 보입니다.

사실 여부는 재판에서 앞으로 더 밝혀지겠지만 이게 사실이라면 개인적으로 꽤 충격적입니다. 경쟁사의 상황은 당연히 궁금할 수 있고 기업끼리 싸울 수도 있지만 기업 윤리라는 것이 있는데 VPN이라고 사용자를 속이고 사용자의 트래픽을 모두 가져와서 열어볼 생각을 하고 실천까지 했다는게 너무 놀랍습니다.

https://doubleagent.net/onavo-facebook-ssl-mitm-technical-analysis/