Hlavní navigace

Letištní wi-fi hotspot od AT&T vsouval do webů reklamu

Daniel Dočekal

Neznámé wi-fi sítě mohou být nebezpečné. Ale co když je wi-fi síť známá, a přesto vám vkládá do stránek něco, co nechcete?

AT&T Hotspots: Now with Advertising Injection popisuje zjištění Jonathana Mayera po připojení se na letištní wi-fi od AT&T. Ve stránkách v prohlížeči se mu objevily reklamy i na místech, kde předtím žádná inzerce nebyla. Změněna byla i stránka univerzity, pro kterou pracuje. Podobalo se to situaci, kdy se vám povede pořídit si do počítače nějaký adware, který jednak mění reklamy za své a také běžně doplňuje inzeráty tam, kde jste je nikdy neviděli.

Mayer nakonec zjistil, že kód zajišťující umístění a dodávku reklam vsouvá do HTTP komunikace přímo wi-fi hotspot od AT&T. A původcem je služba, která něco takového nabízí komerčně – společnost RaGaPa nabízející „monetizaci vaší sítě“.

Celé to funguje velmi jednoduše. Wi-Fi hotspot monitoruje http komunikaci a do obdržených stránek vkládá kód – bezprostředně za <head> umístí nové CSS, umí i fall-back na obrázky, pokud není podporovaný JavaScript, a tam kde JavaScript funguje, tak za <body> vkládá i několik JavaScriptů, které se pak starají o umístění a dodávku reklam.

AT&T zdaleka není prvním, kdo má podobné nápady. V USA je jedním z nejznámějších případů Marriott, který dělal totéž, ale po objevení velmi rychle změnil přístup. Výměnu inzerce také masivně provozují různé plug-iny pro Chrome i Firefox. V některých případech může podobné jednání být hodnoceno i jako nezákonné, ale bohužel žádný jednotný přístup, natož soudní verdikt, neexistuje.

HTTPS a virtuální privátní sítě

Výše uvedený případ je velmi dobrým příkladem toho, proč pro komunikaci používat zásadně https (šifrované http). Možnost odchytávat běžnou nešifrovanou komunikaci a zasahovat do ní má prakticky kdykoliv. Jak je vidět, bezpečné není ani připojení na wi-fi hotspot operátora.

Jakkoliv u obsahových webů (jako je třeba Lupa) v zásadě nepoužíváte žádná hesla nebo důvěrné informace, je zde vždy možnost změny dodaného obsahu. Nemusí zdaleka jít jenom o vsouvání inzerce, stejným způsobem je možné vsouvat útočný/škodlivý kód.

START17

Vedle důsledného používání https je ještě velmi dobré mít k dispozici vlastní bezpečné připojení přes virtuální privátní síť, která umožní kompletně skrýt veškerou komunikaci z vašeho počítače.

Vše je o to nebezpečnější v tom, že mobilní aplikace jsou dnes běžně velmi nezodpovědné co se ochrany proti zvědavcům „cestou“ týče. Navíc do nich nevidíte tak dobře, jako do komunikace probíhající z osobního počítače či tabletu. 

Našli jste v článku chybu?
1. 9. 2015 10:11
Chulda (neregistrovaný)

Problém je, že mění obsah webu, tzn. mění obsah něčeho, k čemu už právo nemaj. IMHO to už zasahuje do autorského práva.

Nechť si zobrazují reklamu, třeba jako další stránku nebo okolo zobrazovaného webu, ale měnit obsah web stránky nesmí.

3. 9. 2015 23:25
fotrik (neregistrovaný)

Nenechte se vysmat, za pouziti AT&T hotspotu musite nejdriv kreditkou zaplatit. Cenu uz si nevzpominam, ale byla to lichva. Mit k tomu jako bonus jeste vsunute reklamni sracky, tak s nimi vybehnu. Ale kdyz jsem videl tu cenu, vystacil jsem si radsi s roamingovym datovym balickem v mobilu.