Hlavní navigace

Letištní wi-fi hotspot od AT&T vsouval do webů reklamu

Daniel Dočekal

Neznámé wi-fi sítě mohou být nebezpečné. Ale co když je wi-fi síť známá, a přesto vám vkládá do stránek něco, co nechcete?

AT&T Hotspots: Now with Advertising Injection popisuje zjištění Jonathana Mayera po připojení se na letištní wi-fi od AT&T. Ve stránkách v prohlížeči se mu objevily reklamy i na místech, kde předtím žádná inzerce nebyla. Změněna byla i stránka univerzity, pro kterou pracuje. Podobalo se to situaci, kdy se vám povede pořídit si do počítače nějaký adware, který jednak mění reklamy za své a také běžně doplňuje inzeráty tam, kde jste je nikdy neviděli.

Mayer nakonec zjistil, že kód zajišťující umístění a dodávku reklam vsouvá do HTTP komunikace přímo wi-fi hotspot od AT&T. A původcem je služba, která něco takového nabízí komerčně – společnost RaGaPa nabízející „monetizaci vaší sítě“.

Celé to funguje velmi jednoduše. Wi-Fi hotspot monitoruje http komunikaci a do obdržených stránek vkládá kód – bezprostředně za <head> umístí nové CSS, umí i fall-back na obrázky, pokud není podporovaný JavaScript, a tam kde JavaScript funguje, tak za <body> vkládá i několik JavaScriptů, které se pak starají o umístění a dodávku reklam.

AT&T zdaleka není prvním, kdo má podobné nápady. V USA je jedním z nejznámějších případů Marriott, který dělal totéž, ale po objevení velmi rychle změnil přístup. Výměnu inzerce také masivně provozují různé plug-iny pro Chrome i Firefox. V některých případech může podobné jednání být hodnoceno i jako nezákonné, ale bohužel žádný jednotný přístup, natož soudní verdikt, neexistuje.

HTTPS a virtuální privátní sítě

Výše uvedený případ je velmi dobrým příkladem toho, proč pro komunikaci používat zásadně https (šifrované http). Možnost odchytávat běžnou nešifrovanou komunikaci a zasahovat do ní má prakticky kdykoliv. Jak je vidět, bezpečné není ani připojení na wi-fi hotspot operátora.

Jakkoliv u obsahových webů (jako je třeba Lupa) v zásadě nepoužíváte žádná hesla nebo důvěrné informace, je zde vždy možnost změny dodaného obsahu. Nemusí zdaleka jít jenom o vsouvání inzerce, stejným způsobem je možné vsouvat útočný/škodlivý kód.

CIF17_Williams1

Vedle důsledného používání https je ještě velmi dobré mít k dispozici vlastní bezpečné připojení přes virtuální privátní síť, která umožní kompletně skrýt veškerou komunikaci z vašeho počítače.

Vše je o to nebezpečnější v tom, že mobilní aplikace jsou dnes běžně velmi nezodpovědné co se ochrany proti zvědavcům „cestou“ týče. Navíc do nich nevidíte tak dobře, jako do komunikace probíhající z osobního počítače či tabletu. 

Našli jste v článku chybu?