Když se operátor změní v útočníka na vaše soukromí

Verizon Wireless, jeden z největších mobilních operátorů v USA, dobré dva roky značkuje své zákazníky, aniž by o tom věděli.

Až příště budete přistupovat přes mobilní připojení k webu, zkuste se podívat, jestli náhodou operátor nepřidává k vámi přenášeným informacím něco navíc. Verizon Wireless, jeden z největších amerických mobilních operátorů, to dělá už dva roky. Unikátní identifikátor o délce zhruba padesáti znaků umožňuje identifikovat uživatele, respektive jeho mobilní připojení.

Nejde přitom o žádnou maličkost, Verizon Wireless má zhruba 123 milionů zákazníků a tuto technologie nabízí komerčně k využití inzerentům. Unique Identifier Header (UIDH) slouží k cílení reklamy. A pochopitelně umožňuje v nebývalé míře sledovat, kam zákazníci Verizonu chodí, jaké weby navštěvují a ve spojitosti s daty operátora, i odkud tam chodí.

Jacob Hoffman-Andrews z Electronic Frountier Foundation (EFF) tuto „permanentní cookie“ pro Wired komentoval jako něco nepřijatelného. ISP by podle něj v žádném případě neměl takto zasahovat do provozu na Internetu. Verizon samotný tvrdí, že UIDH nevyužívá k budování profilů uživatelů a o jejich vypnutí odmítá diskutovat. Jediné, co uživatelé, kterým podobné praktiky vadí, mohou udělat, je odejít z inzertního programu – tedy klasické nutné opt-out, ke kterému nakonec málokdo přistoupí.

Dva roky neodhalená aktivita

UIDH Verizon používá dobré dva roky a celou dobu o této aktivitě prakticky nikdo nevěděl, až do okamžiku, kdy někoho napadlo zaznamenávat všechno na straně webového serveru, načež zjištil, že se tam vyskytuje něco, co není zcela běžné.

Technicky přitom UIDH funguje velmi jednoduše – do každého HTTP požadavku je do hlaviček vsunut „X-UIDH“ identifikátor (vypadající třeba takto: OTgxNTk2NDk0ADJVquRu5NS5+rSbBAN­lrp+13QL7CXLGsFHpMi4LsUHw). Což by teoreticky mělo být „anonymnizované“, ale samozřejmě jedinečné (podle všeho se ale označení čas od času může změnit) určení „zákazníka“. Pokud web využívá reklamní systém Verizonu, může prostřednictvím tohoto řetězce zpětně dojít k identifikaci uživatele a odpovídajícím inzertním aktivitám.

Odhalit něco takového je poměrně jednoduché, stačí se na Internetu na mobilním připojení podívat na to, jaké hlavičky posílá váš prohlížeč webovému serveru. Což můžete zjistit například na myhttp.info (podobných služeb na Internetu najdete desítky).

MIF16

Běžný uživatel samozřejmě netuší nic o tom, že se něco takového děje. Na mobilních telefonech a tabletech navíc zpravidla ani nemůžete použít nějaké ty pomůcky, které umožní tyto informace vyhledávat. A co je špatné, tady nepomůže ani žádný  nástroj na blokací/odstranění – vsouvání se děje až poté, co z mobilu/tabletu odešlete požadavek.

A co víc: tyto „cookies“ jsou skutečně permanentní – operátor, který vás má jednoznačně identifikované vaší SIM kartou, vás prostě pokaždé označí. A pak už je otázka, jak a jak hodně jsou tyto informace využívány dál. Nebo spíše, zneužívány.

23 názorů Vstoupit do diskuse
poslední názor přidán 3. 11. 2014 8:37

Školení UX: Jak zapojit uživatele do designu

  •  
    Jak dostat ono tajemné UX do designu.
  • Ve kterých fázích zapojit uživatele, abyste dostali nejvíc muziky za nejmíň peněz.
  • Jak vytvářet jednoduché a srozumitelné persony

Detailní informace o školení UX »