Résultat de l’interception et de l’analyse du trafic réseau de l’application officielle de la Maison-Blanche

 (atomic.computer)
2 points par GN⁺ 27 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Le trafic HTTPS réel de l’application iOS de la Maison-Blanche a été capturé via un proxy MITM afin d’analyser avec quels serveurs elle communique et quelles données elle échange
  • En plus de whitehouse.gov, l’application communique avec 31 hôtes tiers, dont Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook et Twitter
  • Des informations de profilage utilisateur sont continuellement envoyées à OneSignal : langue, fuseau horaire, IP, modèle d’appareil, nombre de sessions, etc.
  • Des scripts externes sont exécutés via le chargeur de widgets Elfsight, et du code de suivi publicitaire Google DoubleClick fonctionne également à l’intérieur de l’application
  • Alors que le privacy manifest de l’application indique “aucune collecte de données”, on observe en réalité de multiples mécanismes de suivi tiers et des transferts de données

Vue d’ensemble de l’analyse du trafic réseau

  • Analyse du trafic réseau de l’application officielle iOS de la Maison-Blanche en le capturant avec un proxy MITM (attaque de l’homme du milieu)
    • Installation de mitmproxy sur macOS, puis enregistrement de tout le trafic HTTPS de l’iPhone via le proxy
    • Version analysée de l’application : v47.0.4 (build 81) ; tous les onglets ont été parcourus : Home, News, Live, Social et Explore
    • Le trafic a été déchiffré et enregistré sans modification, dans des conditions d’usage ordinaires

Serveurs contactés par l’application

  • Au cours d’une seule session, l’application a envoyé des requêtes vers 31 hôtes uniques (hors trafic système iOS)
    • Sur un total de 206 requêtes, seules 48 (23 %) ont été envoyées à whitehouse.gov
    • Les 158 restantes (77 %) ont été envoyées à des services tiers tels que Elfsight, OneSignal, YouTube, Google DoubleClick, Facebook et Twitter
  • Principales destinations des requêtes
    • whitehouse.gov : API WordPress (actualités, accueil, galerie, etc.)
    • YouTube : intégration vidéo et miniatures
    • Elfsight : chargement des widgets, ressources statiques, stockage de fichiers, API de démarrage, etc.
    • OneSignal : analyse et profilage utilisateur
    • CDN Facebook/Twitter : chargement d’images
    • Google APIs et DoubleClick : publicité et suivi

Données envoyées à OneSignal

  • Au lancement de l’application, un corps de requête HTTPS est envoyé à api.onesignal.com
    • Informations incluses : langue, fuseau horaire, pays, adresse IP, heure du premier lancement et de la dernière activité, modèle d’appareil, version de l’OS, type de réseau (Wi‑Fi/cellulaire), opérateur, statut jailbreak, nombre de sessions, durée des sessions, identifiant unique
  • À chaque exécution, l’application envoie plusieurs requêtes PATCH pour mettre à jour le profil
    • 18 requêtes PATCH lors du premier lancement ; 9 requêtes OneSignal observées sur l’ensemble de la session
    • Séquence : consultation du profil existant par GET → mise à jour des informations de session par PATCH
  • OneSignal enregistre en continu l’IP par session, l’heure d’activité, le nombre de sessions et leur durée
    • Le profil est mis à jour lorsque l’adresse IP change
    • L’horodatage first_active ne change pas après l’installation
  • En conséquence, OneSignal maintient un profil persistant par utilisateur et suit les habitudes d’usage de l’application ainsi que l’environnement réseau
  • Le User-Agent observé dans le trafic est WhiteHouse/81 CFNetwork/3860.400.51 Darwin/25.3.0

Trafic lié à Elfsight

  • Les 6 widgets et le chargeur JavaScript en 2 étapes identifiés par l’analyse statique ont également été confirmés dans le trafic réel
  • À l’ouverture de l’onglet Social, l’application se connecte à 13 domaines Elfsight
    • elfsightcdn.com, core.service.elfsight.com, static.elfsight.com, storage.elfsight.com, widget-data.service.elfsight.com, video-proxy.wu.elfsightcompute.com, etc.
  • En envoyant chaque identifiant de widget via la requête /p/boot/, le serveur renvoie la liste des scripts à exécuter (tableau assets)
    • Exemples : TikTok → tiktokFeed.js, Instagram → instashow.js, Facebook → facebookFeed.js, YouTube → yottie.js
  • La fonction loadAssets de l’application insère ensuite chaque URL sous forme de balise <script> pour l’exécuter
    • La structure permet donc au serveur de décider quel code sera exécuté
  • Les serveurs Elfsight définissent plus de 10 cookies au cours d’une session
    • Dont elfsight_viewed_recently, des cookies de suivi Cloudflare (_cfuvid, __cf_bm) et des identifiants de session

Suivi publicitaire Google DoubleClick

  • Lors de l’intégration de YouTube, l’infrastructure de suivi publicitaire de Google est également chargée
    • Requêtes observées vers googleads.g.doubleclick.net et static.doubleclick.net
  • DoubleClick est la plateforme de diffusion publicitaire et de suivi de Google, et du code de suivi publicitaire s’exécute dans l’application officielle de la Maison-Blanche
    • Cet élément n’est pas mentionné dans le privacy manifest de l’application

Écart entre le privacy manifest et le comportement réel

  • Paramètres de confidentialité déclarés par l’application : 
    NSPrivacyCollectedDataTypes: []
NSPrivacyTracking: false
  • Transferts de données observés durant la session réelle :
    • Envoi à OneSignal de modèle d’appareil, OS, IP, fuseau horaire, langue, nombre de sessions, durée des sessions, identifiant unique
    • Connexion à 13 domaines Elfsight et réception de plus de 10 cookies de suivi
    • Exécution du code de suivi publicitaire Google DoubleClick
    • Requêtes vers Facebook, Twitter/X, YouTube et les API Google
  • En pratique, bien que l’application soit présentée comme ne procédant à “aucune collecte de données”, elle effectue en réalité de multiples suivis tiers et transferts de données

Méthodologie d’analyse

  • Outil proxy : mitmproxy (mitmdump)
  • Environnement : macOS, iPhone(iOS), même réseau Wi‑Fi
  • Certificat : ajout de la CA mitmproxy aux réglages de confiance iOS
  • Périmètre de capture : trafic HTTPS généré pendant l’exploration complète des 5 onglets de l’application
  • Modification du trafic : aucune, observation uniquement
  • Traitement des données personnelles : IP, identifiants d’appareil, identifiant OneSignal, etc. ont tous été masqués dans le billet
  • Aucune intrusion ni manipulation côté serveur, uniquement l’enregistrement des communications initiées volontairement par l’application

Recherches associées

  • Rapport d’analyse statique de l’application iOS de la Maison-Blanche
  • Résultats de l’analyse Thereallo de la version Android

Présentation d’Atomic Computer

  • Atomic Computer est une entreprise fournissant des services de cybersécurité, d’infrastructure et de développement
  • Elle réalise des prestations d’évaluation et d’analyse de la sécurité des applications mobiles

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.