Hlavní navigace

Když se operátor změní v útočníka na vaše soukromí

Autor: Isifa
Daniel Dočekal

Verizon Wireless, jeden z největších mobilních operátorů v USA, dobré dva roky značkuje své zákazníky, aniž by o tom věděli.

Až příště budete přistupovat přes mobilní připojení k webu, zkuste se podívat, jestli náhodou operátor nepřidává k vámi přenášeným informacím něco navíc. Verizon Wireless, jeden z největších amerických mobilních operátorů, to dělá už dva roky. Unikátní identifikátor o délce zhruba padesáti znaků umožňuje identifikovat uživatele, respektive jeho mobilní připojení.

Nejde přitom o žádnou maličkost, Verizon Wireless má zhruba 123 milionů zákazníků a tuto technologie nabízí komerčně k využití inzerentům. Unique Identifier Header (UIDH) slouží k cílení reklamy. A pochopitelně umožňuje v nebývalé míře sledovat, kam zákazníci Verizonu chodí, jaké weby navštěvují a ve spojitosti s daty operátora, i odkud tam chodí.

Jacob Hoffman-Andrews z Electronic Frountier Foundation (EFF) tuto „permanentní cookie“ pro Wired komentoval jako něco nepřijatelného. ISP by podle něj v žádném případě neměl takto zasahovat do provozu na Internetu. Verizon samotný tvrdí, že UIDH nevyužívá k budování profilů uživatelů a o jejich vypnutí odmítá diskutovat. Jediné, co uživatelé, kterým podobné praktiky vadí, mohou udělat, je odejít z inzertního programu – tedy klasické nutné opt-out, ke kterému nakonec málokdo přistoupí.

Dva roky neodhalená aktivita

UIDH Verizon používá dobré dva roky a celou dobu o této aktivitě prakticky nikdo nevěděl, až do okamžiku, kdy někoho napadlo zaznamenávat všechno na straně webového serveru, načež zjištil, že se tam vyskytuje něco, co není zcela běžné.

Technicky přitom UIDH funguje velmi jednoduše – do každého HTTP požadavku je do hlaviček vsunut „X-UIDH“ identifikátor (vypadající třeba takto: OTgxNTk2NDk0ADJVquRu5NS5+rSbBAN­lrp+13QL7CXLGsFHpMi4LsUHw). Což by teoreticky mělo být „anonymnizované“, ale samozřejmě jedinečné (podle všeho se ale označení čas od času může změnit) určení „zákazníka“. Pokud web využívá reklamní systém Verizonu, může prostřednictvím tohoto řetězce zpětně dojít k identifikaci uživatele a odpovídajícím inzertním aktivitám.

Odhalit něco takového je poměrně jednoduché, stačí se na Internetu na mobilním připojení podívat na to, jaké hlavičky posílá váš prohlížeč webovému serveru. Což můžete zjistit například na myhttp.info (podobných služeb na Internetu najdete desítky).

START17

Běžný uživatel samozřejmě netuší nic o tom, že se něco takového děje. Na mobilních telefonech a tabletech navíc zpravidla ani nemůžete použít nějaké ty pomůcky, které umožní tyto informace vyhledávat. A co je špatné, tady nepomůže ani žádný  nástroj na blokací/odstranění – vsouvání se děje až poté, co z mobilu/tabletu odešlete požadavek.

A co víc: tyto „cookies“ jsou skutečně permanentní – operátor, který vás má jednoznačně identifikované vaší SIM kartou, vás prostě pokaždé označí. A pak už je otázka, jak a jak hodně jsou tyto informace využívány dál. Nebo spíše, zneužívány.

Našli jste v článku chybu?
29. 10. 2014 12:46
AE (neregistrovaný)

Navrhujem udeliť pokutu, pri ktorej sa na výpočet sumy použijú výpočtové tabuľky ochrancov autorských prav.

Verizon má 123 miliónov zákazníkov. Každý z nich denne odošle napríklad 1000 HTTP požiadavkov. Každý používa na neoprávnené obohatenie v súvislosti s porušením súkromia, takže pokuta 1 cent. Prebieha to už 2 roky, teda 730 dní.

Výsledná pokuta je 123 000 000 x 1000 x 730. Teda 898 miliárd dolárov. Hneď ich to prejde.