image

Wifi-dienst in vliegtuigen gebruikt vals Google-certificaat

dinsdag 6 januari 2015, 12:20 door Redactie, 4 reacties

Een Amerikaanse bedrijf dat wifi in vliegtuigen aanbiedt blijkt een vals Google-certificaat te gebruiken om YouTube te filteren, zo ontdekte een werkneemster van Google. Het gaat om Gogo Inflight Internet, dat onder andere op vluchten van American Airlines, Delta Air Lines en United Airlines wordt aangeboden.

Tijdens haar vlucht besloot Adrienne Porter Felt, beveiligingsonderzoekster bij het Google Chrome security Team, YouTube te bezoeken en zag dat er een vals certificaat werd gebruikt, waarop ze een openbare tweet naar Gogo verstuurde. Naar aanleiding van de ontstane ophef gaf de wifi-aanbieder gisteren een reactie. Daarin stelt de directeur dat Gogo vanwege de beperkte bandbreedte bepaalde streamingdiensten niet ondersteunt en verschillende technieken gebruikt om videostreaming te blokkeren of te beperken.

"Welke techniek we ook gebruiken om de bandbreedte te beperken, het heeft alleen impact op bepaalde veilige videostreamingsites en niet op het normale veilige internetverkeer", zegt directeur Anand Chari. "Deze technieken worden gebruikt zodat iedereen die tijdens de vlucht wil internetten een consistente surfervaring heeft." Chari benadrukt dat er via de gebruikte technieken geen gebruikersinformatie wordt verzameld. Critici zijn echter verbolgen en stellen dat het bedrijf voor het blokkeren of filteren van YouTube geen vals Google-certificaat hoeft te gebruiken.

Image

Reacties (4)
06-01-2015, 12:54 door Anoniem
Dat is een van de redenen om je eigen certificaten te genereren en gebruiken met je eigen true randomness. Ook overheden dwingen operators om op deze manier man-in-the-middle attacks voor deze overheden uit te voeren. Hier is zelfs hardware op gebaseerd, bijvoorbeeld Packet Forensics 5 Series, zie http://cryptome.org/ssl-mitm.pdf
06-01-2015, 15:43 door Anoniem
"Critici zijn echter verbolgen en stellen dat het bedrijf voor het blokkeren of filteren van YouTube geen vals Google-certificaat hoeft te gebruiken."

Dat is maar de vraag. Tegenwoordig is het hip om alles maar via https te doen zelfs waar http prima voldoet, en een van
de consequenties daarvan is dat om sites selectief te blokkeren er allerlei invasieve maatregelen nodig zijn geworden die
vroeger niet nodig waren.
06-01-2015, 21:39 door Anoniem
Door Anoniem:Dat is maar de vraag. Tegenwoordig is het hip om alles maar via https te doen zelfs waar http prima voldoet, en een van de consequenties daarvan is dat om sites selectief te blokkeren er allerlei invasieve maatregelen nodig zijn geworden die vroeger niet nodig waren.
Is dat werkelijk zo? Zouden ze niet de bandbreedte per mac-adres kunnen limiteren als er congestie dreigt, zodat mensen die zware dingen doen (of dat nou YouTube is of wat anders) daarin gehinderd worden en mensen die bescheiden zijn qua bandbreedte minder of geen last ondervinden? Dat lijkt me effectiever én eenvoudiger, omdat het geen kennis vergt van welke websites of IP-adressen tot een groot bandbreedteverbruik kunnen leiden, en je hoeft niet te stunten met valse certificaten.
07-01-2015, 13:20 door Anoniem
Dat is maar de vraag. Tegenwoordig is het hip om alles maar via https te doen zelfs waar http prima voldoet, en een van de consequenties daarvan is dat om sites selectief te blokkeren er allerlei invasieve maatregelen nodig zijn geworden die
vroeger niet nodig waren.

Waarom zou een bedrijf dingen willen blokkeren als de klant ervoor betaald? (Ofwel in Euro's ofwel met zijn profiel.)

Of wil het bedrijf in kwestie aantonen dat de gebruikte achterliggende technologie niet in verhouding staat tot de marketingbelofte?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.