Hlavní navigace

Letištní wi-fi hotspot od AT&T vsouval do webů reklamu

Daniel Dočekal 31. 8. 2015

Neznámé wi-fi sítě mohou být nebezpečné. Ale co když je wi-fi síť známá, a přesto vám vkládá do stránek něco, co nechcete?

AT&T Hotspots: Now with Advertising Injection popisuje zjištění Jonathana Mayera po připojení se na letištní wi-fi od AT&T. Ve stránkách v prohlížeči se mu objevily reklamy i na místech, kde předtím žádná inzerce nebyla. Změněna byla i stránka univerzity, pro kterou pracuje. Podobalo se to situaci, kdy se vám povede pořídit si do počítače nějaký adware, který jednak mění reklamy za své a také běžně doplňuje inzeráty tam, kde jste je nikdy neviděli.

Mayer nakonec zjistil, že kód zajišťující umístění a dodávku reklam vsouvá do HTTP komunikace přímo wi-fi hotspot od AT&T. A původcem je služba, která něco takového nabízí komerčně – společnost RaGaPa nabízející „monetizaci vaší sítě“.

Celé to funguje velmi jednoduše. Wi-Fi hotspot monitoruje http komunikaci a do obdržených stránek vkládá kód – bezprostředně za <head> umístí nové CSS, umí i fall-back na obrázky, pokud není podporovaný JavaScript, a tam kde JavaScript funguje, tak za <body> vkládá i několik JavaScriptů, které se pak starají o umístění a dodávku reklam.

AT&T zdaleka není prvním, kdo má podobné nápady. V USA je jedním z nejznámějších případů Marriott, který dělal totéž, ale po objevení velmi rychle změnil přístup. Výměnu inzerce také masivně provozují různé plug-iny pro Chrome i Firefox. V některých případech může podobné jednání být hodnoceno i jako nezákonné, ale bohužel žádný jednotný přístup, natož soudní verdikt, neexistuje.

HTTPS a virtuální privátní sítě

Výše uvedený případ je velmi dobrým příkladem toho, proč pro komunikaci používat zásadně https (šifrované http). Možnost odchytávat běžnou nešifrovanou komunikaci a zasahovat do ní má prakticky kdykoliv. Jak je vidět, bezpečné není ani připojení na wi-fi hotspot operátora.

Jakkoliv u obsahových webů (jako je třeba Lupa) v zásadě nepoužíváte žádná hesla nebo důvěrné informace, je zde vždy možnost změny dodaného obsahu. Nemusí zdaleka jít jenom o vsouvání inzerce, stejným způsobem je možné vsouvat útočný/škodlivý kód.

Vedle důsledného používání https je ještě velmi dobré mít k dispozici vlastní bezpečné připojení přes virtuální privátní síť, která umožní kompletně skrýt veškerou komunikaci z vašeho počítače.

Vše je o to nebezpečnější v tom, že mobilní aplikace jsou dnes běžně velmi nezodpovědné co se ochrany proti zvědavcům „cestou“ týče. Navíc do nich nevidíte tak dobře, jako do komunikace probíhající z osobního počítače či tabletu. 

Našli jste v článku chybu?

1. 9. 2015 10:11

Chulda (neregistrovaný)

Problém je, že mění obsah webu, tzn. mění obsah něčeho, k čemu už právo nemaj. IMHO to už zasahuje do autorského práva.

Nechť si zobrazují reklamu, třeba jako další stránku nebo okolo zobrazovaného webu, ale měnit obsah web stránky nesmí.

3. 9. 2015 23:25

fotrik (neregistrovaný)

Nenechte se vysmat, za pouziti AT&T hotspotu musite nejdriv kreditkou zaplatit. Cenu uz si nevzpominam, ale byla to lichva. Mit k tomu jako bonus jeste vsunute reklamni sracky, tak s nimi vybehnu. Ale kdyz jsem videl tu cenu, vystacil jsem si radsi s roamingovym datovym balickem v mobilu.

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph