"Man-in-the-Middle"-Methode: Facebook hat wohl Snapchat-Verschlüsselung umgangen
Im Rahmen einer Sammelklage gegen Facebook sind nun Dokumente zu einem alten Skandal aufgetaucht. Das Vorgehen gegen Snapchat war wohl aggressiver als gedacht.
(Bild: BigTunaOnline/Shutterstock.com)
Mark Zuckerberg war angeblich stärker in ein Projekt zum Ausspionieren von Facebook-Konkurrenten involviert als bislang bekannt. Zudem wurden gegen Snapchat regelrechte "Man-in-the-Middle"-Angriffe durchgeführt. Das jedenfalls legen jetzt öffentlich einsehbare Gerichtsdokumente nahe, die im Rahmen einer Sammelklage gegen den Facebook-Konzern Meta zusammengestellt wurden. Darin werden E-Mails zitiert, laut denen Zuckerberg Angestellte angewiesen hat, trotz der Verschlüsselung des Snapchat-Traffics an zuverlässige Nutzungsdaten zu kommen. In der Folge wurde demnach daran gearbeitet, SSL-verschlüsselte Daten von Snapchat mithilfe der hauseigenen VPN-App Onavo zu entschlüsseln. Die Frage, ob dieses Programm gestoppt werden sollte, wurde demnach später ebenfalls zusammen mit Zuckerberg entschieden. Die Dokumente werfen ein neues Licht auf einen schon vor Jahren publik gewordenen Skandal.
Von dutzenden Juristen geprüft
Die erhobenen Vorwürfe beziehen sich auf das aggressive Vorgehen Facebooks gegen den damals aufstrebenden Konkurrenten Snapchat. Um herauszufinden, was dort passierte, wurde den Dokumenten zufolge bei Facebook – inzwischen Meta – ein sogenanntes "Project Ghostbusters" ins Leben gerufen. Der Name "Geisterjäger" scheint sich dabei auf das Logo von Snapchat zu beziehen, ein weißer Geist auf gelbem Grund. In einer Mail vom 9. Juni 2016 hat Zuckerberg es demnach für wichtig erklärt, zuverlässige Analysedaten zu Snapchat zu erhalten. Vielleicht müsse man spezielle Software schreiben, schlägt er vor und ergänzt: "Ihr müsst herausfinden, wie man das machen kann." Schon wenige Tage später wurde von einem Team der Tochterfirma Onavo vorgeschlagen, Internet-Traffic auf Smartphones von Nutzern und Nutzerinnen mithilfe der gleichnamigen VPN-App abzufangen, um die Verschlüsselung zu umgehen. Weil ein VPN-Dienst allein dafür nicht reicht, sei außerdem ein Root-Zertifikat installiert worden: Das ist die "Man-in-the-Middle"-Herangehensweise, fasste das ein Manager zusammen.
Dokumente und Zeugenaussagen würden beweisen, dass diese Vorgehensweise tatsächlich in großem Umfang eingesetzt worden sei, heißt es von dem Team der Kläger. Dort ist von einem Zeitraum zwischen Juni 2016 und Anfang 2019 die Rede. Später sei damit auch verschlüsselter Traffic von YouTube und Amazon analysiert worden. Bei Facebook seien die so gesammelten Daten benutzt worden, um zu verstehen, wie Snapchat genutzt wird und eigene Produkte darauf aufbauend zu überarbeiten. Dutzende Anwälte und Anwältinnen seien bei Facebook eingebunden gewesen und hätten versichert, dass das Vorgehen legal sei. Dabei stelle sich die Frage, ob es sich nicht um einen Verstoß gegen Hackinggesetze handle.
Dass Facebook Onavo benutzt hat, um wichtige Einblicke in die Apps der Konkurrenz bekommen und darauf zu reagieren, war seit Jahren bekannt. Onavo hat die App Onavo Protect angeboten, die den Traffic des Mobilgeräts durch ein VPN schleuste und auf Sicherheitsgefahren hin analysierte. Mit diesem Versprechen war sie prominent beworben worden. Anfang 2019 war Apple dann gegen die Anwendung vorgegangen, woraufhin Facebook die App zurückgezogen und das dafür verantwortliche Tochterunternehmen geschlossen hat. Die juristische Aufarbeitung erfolgt jetzt im Rahmen einer Sammelklage gegen Facebook (Az.: 3:20-cv-08570-JD). Dabei wurden die Dokumente nun zutage gefördert.
Hinweis auf das ebenfalls installierte Zertifikat ergänzt.
(mho)
