Hlavní navigace

Letištní wi-fi hotspot od AT&T vsouval do webů reklamu

Daniel Dočekal 31. 8. 2015

Neznámé wi-fi sítě mohou být nebezpečné. Ale co když je wi-fi síť známá, a přesto vám vkládá do stránek něco, co nechcete?

AT&T Hotspots: Now with Advertising Injection popisuje zjištění Jonathana Mayera po připojení se na letištní wi-fi od AT&T. Ve stránkách v prohlížeči se mu objevily reklamy i na místech, kde předtím žádná inzerce nebyla. Změněna byla i stránka univerzity, pro kterou pracuje. Podobalo se to situaci, kdy se vám povede pořídit si do počítače nějaký adware, který jednak mění reklamy za své a také běžně doplňuje inzeráty tam, kde jste je nikdy neviděli.

Mayer nakonec zjistil, že kód zajišťující umístění a dodávku reklam vsouvá do HTTP komunikace přímo wi-fi hotspot od AT&T. A původcem je služba, která něco takového nabízí komerčně – společnost RaGaPa nabízející „monetizaci vaší sítě“.

Celé to funguje velmi jednoduše. Wi-Fi hotspot monitoruje http komunikaci a do obdržených stránek vkládá kód – bezprostředně za <head> umístí nové CSS, umí i fall-back na obrázky, pokud není podporovaný JavaScript, a tam kde JavaScript funguje, tak za <body> vkládá i několik JavaScriptů, které se pak starají o umístění a dodávku reklam.

AT&T zdaleka není prvním, kdo má podobné nápady. V USA je jedním z nejznámějších případů Marriott, který dělal totéž, ale po objevení velmi rychle změnil přístup. Výměnu inzerce také masivně provozují různé plug-iny pro Chrome i Firefox. V některých případech může podobné jednání být hodnoceno i jako nezákonné, ale bohužel žádný jednotný přístup, natož soudní verdikt, neexistuje.

HTTPS a virtuální privátní sítě

Výše uvedený případ je velmi dobrým příkladem toho, proč pro komunikaci používat zásadně https (šifrované http). Možnost odchytávat běžnou nešifrovanou komunikaci a zasahovat do ní má prakticky kdykoliv. Jak je vidět, bezpečné není ani připojení na wi-fi hotspot operátora.

Jakkoliv u obsahových webů (jako je třeba Lupa) v zásadě nepoužíváte žádná hesla nebo důvěrné informace, je zde vždy možnost změny dodaného obsahu. Nemusí zdaleka jít jenom o vsouvání inzerce, stejným způsobem je možné vsouvat útočný/škodlivý kód.

MIF16

Vedle důsledného používání https je ještě velmi dobré mít k dispozici vlastní bezpečné připojení přes virtuální privátní síť, která umožní kompletně skrýt veškerou komunikaci z vašeho počítače.

Vše je o to nebezpečnější v tom, že mobilní aplikace jsou dnes běžně velmi nezodpovědné co se ochrany proti zvědavcům „cestou“ týče. Navíc do nich nevidíte tak dobře, jako do komunikace probíhající z osobního počítače či tabletu. 

Našli jste v článku chybu?
DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Tipy: Kde zaručeně koupíte dobré maso

Tipy: Kde zaručeně koupíte dobré maso

DigiZone.cz: Skylink: Cinemax 2 nejspíše až 2017

Skylink: Cinemax 2 nejspíše až 2017

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští